viernes, 8 de abril de 2016

Adobe soluciona el 0-day y otras 23 vulnerabilidades en Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona el 0-day anunciado recientemente y otras 23 vulnerabilidades que afectan al popular reproductor. La mayoría de los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Todo parece indicar que con objeto de incluir la solución al 0-day que ya comentamos hace unos días, Adobe ha adelantado la publicación de su habitual boletín mensual para Flash, esperado para la semana que viene. Adobe confirma que existen informes de que una vulnerabilidad de confusión de tipos (con CVE-2016-1019) se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 20.0.0.306 y anteriores.

Todos los problemas que se corrigen en este boletín (APSB16-10) permitirían la ejecución de código arbitrario aprovechando cinco vulnerabilidades de uso de memoria después de liberarla, 13 de corrupción de memoria, un desbordamiento de búfer, una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos y dos de confusión de tipos.

Esta actualización también resuelve un salto de restricciones de seguridad y se endurece una mitigación contra ataques JIT (Just In Time) que puedan utilizarse para evitar mitigaciones de aleatorización de distribución de la memoria.

Los CVE asignados son: CVE-2016-1006 y CVE-2016-1011 al CVE-2016-1033.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 21.0.0.197 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release 18.0.0.333 (y anteriores) para Windows y Macintosh; y Adobe Flash Player 11.2.202.577 (y anteriores) para Linux.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 21.0.0.213
  • Flash Player Extended Support Release 18.0.0.343
  • Flash Player para Linux 11.2.202.616
Igualmente se ha publicado la versión 21.0.0.213 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash
Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash

Opina sobre esta noticia:

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb16-10.html

una-al-dia (06/04/2016) Nuevo 0-day en Adobe Flash Player
http://unaaldia.hispasec.com/2016/04/nuevo-0-day-en-adobe-flash-player.html

Security Advisory for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsa16-01.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017