CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/02/2013

Adobe publica un parche de emergencia para las vulnerabilidades de Flash

Adobe recomienda a los usuarios de Windows y OS X que instalen las actualizaciones lo antes posible. Adobe iba a lanzar la actualización el próximo martes, pero ha decidido adelantar el lanzamiento del parche para las vulnerabilidades de día cero.

Riesgo: Crítico

Adobe acaba de publicar un parche de emergencia para las vulnerabilidades de día cero que afecta Flash Player y que ya estaba siendo explotado por los hackers para hacerse con el control de PC con Windows y Mac.

Ésta es la primera actualización que lanza Adobe desde que incluyó el software a un programa de actualización regular el pasado año. Como parte de este programa, Adobe iba a lanzar la actualización el próximo martes, pero ha decidido adelantar el parche. En un aviso publicado el jueves, Adobe confirmó el lanzamiento de los parches para las dos vulnerabilidades, CVE-2013-0633 y CVE-2013-0634. Adobe ha catalogado esta actualización como crítica, ya que los criminales han podido estar aprovechando las dos vulnerabilidades durante un tiempo desconocido.

La vulnerabilidad CVE-2013-0633 engaña a los usuarios para que abran un documento de Microsoft Word que se entrega en un mensaje de correo electrónico que incorpora contenido malicioso Flash.

La segunda vulnerabilidad utiliza un gancho similar a la anterior, pero también puede ser explotada a través de ataques “drive-by” contra Firefox y usuarios de Safari.  

Cabe señalar que la mayoría de los ataques han estado dirigidos hacia usuarios de Windows, al ser estos mayoritarios que los de OS X.

Sistemas Afectados:

Adobe Flash Player 11.5.502.146 y anteriores para Windows y Macintosh
Adobe Flash Player 11.2.202.261 y anteriores para Linux
Adobe Flash Player 11.1.115.36 y anteriores para Android 4.x
Adobe Flash Player 11.1.111.31 y anteriores para Android 3.x y 2.x

Referencias:

CVE-2013-0633, CVE-2013-0634

Solución:

Adobe anima a los usuarios a instalar las actualizaciones de Windows y OS X lo antes posible.

Notas:

US-CERT
CSO Spain
Adobe APSB13-04

Fuente: CSO-España

CSIRT-CV