Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/05/2011
Vulnerabilidades en Adobe Flash Player y Media Server
Se han detectado y corregido dos vulnerabilidades en Adobe Flash Media Server, así como 11 vulnerabilidades en todas las versiones de Flash Media Player. Además, en las nuevas versiones de Flash Player se ha mejorado la gestión de datos almacenados por esta aplicación.Se han publicado 11 vulnerabilidades críticas en el reproductor Flash Player de Adobe, en todas sus versiones. Estas vulnerabilidades son causadas, en su mayoría, por desbordamientos de enteros y errores de corrupción de memoria al procesar contenido Flash malformado, y pueden ser utilizadas por atacantes para comprometer un sistema vulnerable al engañar a los usuarios para visitar una página web especialmente diseñada.
Además, esta nueva version incluye mejoras en la gestión del contenido almacenado por la aplicación en los equipos de los usuarios, entre los que destaca la gestión mejorada de las cookies de flash. El nuevo sistema optimiza el manejo de memoria y permite mayor control sobre los datos almacenados, a través de una versión renovada del Flash Player Settings Manager.
Por otra parte, Adobe también ha publicado dos vulnerabilidades críticas en su aplicación Flash Media Server, que podrían ser utilizadas por los atacantes para provocar la denegación del servicio o comprometer un sistema vulnerable. Los dos fallos corresponden con un problema de corrupción de memoria, que puede provocar la ejecución de código arbitrario, y un problema de corrupción de datos XML, que puede provocar la denegación del servicio.
Además, junto a estas actualizaciones, Adobe también ha publicado un boletín crítico para Adobe Audition y otro boletín importante para Adobe RoboHelp.
Adobe Flash Player 10.2.159.1 y anteriores para Windows, Macintosh, Linux y Solaris.
Adobe Flash Player 10.2.154.28 y anteriores para Chrome.
Adobe Flash Player 10.2.157.51 y anteriores para Android.
Adobe Flash Media Server 4.0.1 y anteriores.
Adobe Flash Media Server 3.5.5 y anteriores.
CVE-2010-3864, CVE-2011-0612, CVE-2011-0579, CVE-2011-0618, CVE-2011-0619, CVE-2011-0620, CVE-2011-0621, CVE-2011-0622, CVE-2011-0623, CVE-2011-0624, CVE-2011-0625, CVE-2011-0626, CVE-2011-0627
Solución:Actualizar a las siguientes versiones no vulnerables de las aplicaciones:
Flash Media Server versiones 4.0.2 y 3.5.6: http://www.adobe.com/support/flashmediaserver/downloads_updaters.html.
Flash Player 10.3.181.14 para Windows, Macintosh, Linux y Solaris: http://www.adobe.com/go/getflash.
Flash Player 10.3.185.21 para Android: market://details?id=com.adobe.flashplayer.
Flash Player 10.3.181.14 para Chrome: disponible en la última versión estable de Chrome, que se actualiza automáticamente.
http://www.adobe.com/support/security/bulletins/apsb11-12.html
http://www.vupen.com/english/advisories/2011/1225
http://secunia.com/advisories/44590/
http://www.adobe.com/support/security/bulletins/apsb11-11.html
http://www.vupen.com/english/advisories/2011/1224
http://secunia.com/advisories/44589/