CSIRTCV Centro de Seguridad TIC de la Comunitat Valenciana Generalitat Valenciana


    Alertas CSIRTCV  10-12-2009

    Actualización crítica en Adobe Flash Player

    Adobe ha publicado una actualización crítica en el complemento Flash Player y en Adobe Air. La versión 9 de Flash Player prácticamente deja de estar soportada, por lo que se debe actualizar a la última versión 10.0.42.34 Esta nueva versión corrige siete vulnerabilidades de las que seis permitirían la ejecución remota de código y por tanto comprometer potencialmente cualquier equipo que no esté actualizado. El complemento Flash Player se suele instalar en la mayoría de navegadores web, por lo que los equipos pueden verse comprometidos por visitar páginas web maliciosas.

    Recientemente se ha publicado una vulnerabilidad crítica en Adobe Illustrator y se espera que se actualice a principios del próximo mes.

    Esta semana Microsoft ha solucionado, dentro de las actualizaciones que corresponden al mes de diciembre, la vulnerabilidad que afectaba a Internet Explorer 6 y 7, y que publicamos en el boletín de alertas anterior.

    Recomendamos encarecidamente que se actualicen cuanto antes los programas anteriores. Las versiones instaladas se pueden verificar con alguno de los actualizadores que recomendamos en la sección de Herramientas de usuario.

  • Múltiples vulnerabilidades en Adobe Flash Player 10-12-2009

    Han sido notificadas algunas vulnerabilidades de Adobe Flash Player y Adobe Air, que pueden ser usadas por usuarios maliciosos para acceder a información del sistema o comprometer el sistema del usuario.

    • Sistemas afectados:

    Adobe Flash Player 10.x
    Adobe AIR 1.x

    Riesgo:   Alto

    Descripción:

    1) Un error al analizar las dimensiones JPEG contenida dentro de un archivo SWF puede ser usado para causar un desbordamiento de búfer.
    2) Un error no especificado puede permitir la inyección de los datos y potencialmente permitir la ejecución de código arbitrario.
    3) Un error no especificado relacionado con "getProperty ()" puede ser usado para corromper la memoria y puede permitir la ejecución de código arbitrario.
    4) Un error no especificado puede ser usado para corromper la memoria y puede permitir la ejecución de código arbitrario
    5) Un error de desbordamiento de enteros en la generación de controladores de excepciones de ActionScript en Verifier::parseExceptionHandlers() puede ser usado para corromper la memoria.
    6) Varios errores no especificados pueden, potencialmente, permitir la ejecución de código arbitrario.
    7) Un error puede revelar información sobre los nombres de archivos locales.

    Solución:

    Actualizar a Flash Player v10.0.42.34 y AIR v1.5.3.

    Referencias:

    CVE-2009-3794
    CVE-2009-3796
    CVE-2009-3797
    CVE-2009-3798
    CVE-2009-3799
    CVE-2009-3800
    CVE-2009-3951

    Mas información:

    http://www.adobe.com/support/security/bulletins/apsb09-19.html
    http://secunia.com/advisories/37584/

    Fuente:  Secunia Advisories www.secunia.com



Clave PGP en http://www.csirtcv.es/keys/SuscripcionesCSIRTCV2009.asc

Puede darse de baja de esta lista accediendo a este enlace
 
© 2009 CSIRTCV