CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

13/03/2013

Vulnerabilidades en Adobe Flash Player / AIR

Se ha informado de varias vulnerabilidades en Adobe Flash Player y Adobe AIR, que podrían ser aprovechados por atacantes maliciosos para comprometer el sistema de un usuario.

Riesgo: Alto

Se ha informado de varias vulnerabilidades en Adobe Flash Player y Adobe AIR, que podrían ser aprovechados por atacantes maliciosos para comprometer el sistema de un usuario.

1) Un error de desbordamiento de entero podría ser aprovechado para ejecutar código arbitrario.
2) Un error 'use-after-free' podría ser aprovechado para referenciar memoria ya liberada.
3) Un error sin especificar podría ser explotado para provocar una corrupción de la memoria.
4) Un error sin especificar podría ser utilizado para provocar un desbordamiento de la memoria HEAP.

La ejecución exitosa de las vulnerabilidades podrían permitir la ejecución de código arbitrario.

Las vulnerabilidades están reportadas in los siguientes productos y versiones:

Sistemas Afectados:

Adobe AIR 3.x
Adobe Flash Player 11.x 

Referencias:

CVE-2013-0646, CVE-2013-0650, CVE-2013-1371, CVE-2013-1375

Solución:

Actualizar a una versión corregida

Notas:

Reconocimientos:
2) Attila Suszter, Reversing on Windows

El proveedor reconoce a:
1) Un anónimo a través de iDefense
3, 4) Mateusz Jurczyk, Gynvael Coldwind y Fermin Serna, Google Security Team

Adobe (APSB13-09):
http://www.adobe.com/support/security/bulletins/apsb13-09.html

Attila Suszter:
http://reversingonwindows.blogspot.dk/2013/03/flash-player-unloading-vulnerability.html 

Fuente: Secunia Advisories

CSIRT-CV