CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

30/04/2014

Actualización de Adobe Flash Player para evitar un 0-day

Adobe ha publicado una actualización para Adobe Flash Player para evitar una nueva vulnerabilidad 0-day que está explotándose en la actualidad y que afecta al popular reproductor. Esta vulnerabilidad podría permitir a un atacante tomar el control de los sistemas afectados.

Riesgo: Alto

Esta actualización, publicada bajo el boletín APSB14-13, resuelve una vulnerabilidad de desbordamiento de búfer (CVE-2014-0515) que podría permitir la ejecución remota de código arbitrario. El ataque fue reportado por los Laboratorios Kaspersky al detectarlo mediante firmas genéricas heurísticas en un archivo de vídeo flash.

Sistemas Afectados:

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 13.0.0.182 (y anteriores) para Windows, Adobe Flash Player 13.0.0.201 (y anteriores) para Macintosh, Adobe Flash Player 11.2.202.350 (y anteriores) para Linux y las vesiones de Adobe Flash para navegadores Google Chrome e Internet Explorer 10 y 11.

Referencias:

CVE-2014-0515

Solución:

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

Adobe Flash Player 13.0.0.206 para Windows y Macintosh.
Adobe Flash Player 11.7.700.279 para Windows y Macintosh.
Adobe Flash Player 11.2.202.356 para Linux.
AIR 13.0.0.83

Igualmente se ha publicado la versión Flash Player 13.0.0.206 para Internet Explorer 10, 11 y Chrome para Windows.

Adobe también recuerda que el próximo 13 de mayo Adobe Flash Player dejará de dar soporte a las versiones 11.7 de Flash para Mac y Windows, que será reemplazada por la versión 13. Se recomienda a todos los usuarios actualizar a la nueva versión para continuar recibiendo actualizaciones de seguridad.

Notas:

Security updates available for Adobe Flash Player

http://helpx.adobe.com/security/products/flash-player/apsb14-13.html

New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks

https://www.securelist.com/en/blog/8212/New_Flash_Player_0_day_CVE_2014_0515_used_in_watering_hole_attacks

Upcoming changes to Flash Player’s extended support release

http://blogs.adobe.com/flashplayer/2014/03/upcoming-changes-to-flash-players-extended-support-release.html

Fuente: Hispasec una-al-día

CSIRT-CV