CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

12/06/2015

Nueva actualización para el Flash Player de Adobe

Adobe ha publicado una actualización para Adobe Flash Player para evitar 13 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Riesgo: Crítico

De las trece vulnerabilidades corregidas, seis de ellas podrían permitir la ejecución de código arbitrario. Se trata de una vulnerabilidad de desbordamiento de buffer, otra de desbordamiento de entero, una de corrupción de memoria y tres de tipo use-after-free.

Además, se soluciona una vulnerabilidad de elevación de privilegios en Flash para Internet Explorer, una fuga de memoria que anularía la protección ASLR, una mejora en la aleatoriedad de las direcciones de memoria del Heap para la versión de 64 bits de Flash para Windows 7, y tres vulnerabilidades que permitirían obtener información sensible evadiendo la política de mismo origen.

Por último, se corrige una vulnerabilidad de tipo CSRF que podría permitir la evasión del parche de otra vulnerabilidad anterior, con CVE-2014-5333.

Sistemas Afectados:

Adobe Flash Player 17.0.0.188 y anteriores para Windows y Macintosh
Adobe Flash Player 13.0.0.289 y anteriores para Windows y Macintosh
Adobe Flash Player 11.2.202.460 y anteriores para Linux
Adobe AIR Desktop Runtime 17.0.0.172 y anteriores para Windows y Macintosh
Adobe AIR SDK y SDK & Compiler 17.0.0.172 y anteriores para Windows y Macintosh
Adobe AIR para Android 17.0.0.144 y anteriores

Referencias:

CVE-2015-3096, CVE-2015-3097, CVE-2015-3098, CVE-2015-3099, CVE-2015-3100, CVE-2015-3101, CVE-2015-3102, CVE-2015-3103, CVE-2015-3104, CVE-2015-3105, CVE-2015-3106, CVE-2015-3107, CVE-2015-3108

Solución:

Se pueden descargar nuevas versiones que corrigen estas vulnerabilidades desde la página oficial de Adobe. Las versiones publicadas son:

Flash Player Desktop Runtime 18.0.0.160 para Windows y Macintosh
Flash Player Extended Support Release 13.0.0.292 para Windows y Macintosh
Flash Player para Linux 11.2.202.466
Flash Player para Internet Explorer y Chrome, para Windows y Linux 18.0.0.160
Flash Player para Google Chrome, para Macintosh 18.0.0.161
AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler versiones 18.0.0.143 para Macintosh y 18.0.0.144 para Windows
AIR para Android 18.0.0.143

Notas:

Hispasec una-al-dia
APSB15-11

Fuente: Hispasec una-al-dia

CSIRT-CV