CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/05/2011

Vulnerabilitats en Adobe Flash Player i Media Server

S'han detectat i corregit dues vulnerabilitats en Adobe Flash Media Server, així com 11 vulnerabilitats en totes les versions de Flash Media Player. A més, en les noves versions de Flash Player s'ha millorat la gestió de dades emmagatzemades per aquesta aplicació.

Risc: Crític

S'han publicat 11 vulnerabilitats crítiques en el reproductor Flash Player d'Adobe, en totes les seues versions. Aquestes vulnerabilitats són causades, majoritàriament, per desbordaments de sencers i errors de corrupció de memòria en processar contingut Flash malformat, i poden ser utilitzades per atacants per a comprometre un sistema vulnerable i enganyar els usuaris perquè visiten una pàgina web especialment dissenyada.

A més, aquesta nova versió inclou millores en la gestió del contingut emmagatzemat per l'aplicació en els equipaments dels usuaris, entre els quals destaca la gestió millorada de les cookies de Flash. El nou sistema optimitza el maneig de memòria i permet major control sobre les dades emmagatzemades, a través d'una versió renovada del Flash Player Settings Manager.

D'altra banda, Adobe també ha publicat dues vulnerabilitats crítiques en la seua aplicació Flash Media Server, que podrien ser utilitzades pels atacants per a provocar la denegació del servei o comprometre un sistema vulnerable. Les dues fallades corresponen a un problema de corrupció de memòria, que pot provocar l'execució de codi arbitrari, i a un problema de corrupció de dades XML, que pot provocar la denegació del servei.

A més, juntament amb aquestes actualitzacions, Adobe també ha publicat un butlletí crític per a Adobe Audition i un altre butlletí important per a Adobe RoboHelp.

Sistemes Afectats:

Adobe Flash Player 10.2.159.1 i anteriors per a Windows, Macintosh, Linux i Solaris.
Adobe Flash Player 10.2.154.28 i anteriors per a Chrome.
Adobe Flash Player 10.2.157.51 i anteriors per a Android.
Adobe Flash Media Server 4.0.1 i anteriors.
Adobe Flash Media Server 3.5.5 i anteriors.

Referències:

CVE-2010-3864, CVE-2011-0612, CVE-2011-0579, CVE-2011-0618, CVE-2011-0619, CVE-2011-0620, CVE-2011-0621, CVE-2011-0622, CVE-2011-0623, CVE-2011-0624, CVE-2011-0625, CVE-2011-0626, CVE-2011-0627

Solució:

Actualitzeu a les versions següents no vulnerables de les aplicacions:

Flash Media Server, versions 4.0.2 i 3.5.6: http://www.adobe.com/support/flashmediaserver/downloads_updaters.html.
Flash Player 10.3.181.14 per a Windows, Macintosh, Linux i Solaris: http://www.adobe.com/go/getflash.
Flash Player 10.3.185.21 per a Android: market://details?id=com.adobe.flashplayer.
Flash Player 10.3.181.14 per a Chrome: disponible en l'última versió estable de Chrome, que s'actualitza automàticament.

Notes:

http://www.adobe.com/support/security/bulletins/apsb11-12.html
http://www.vupen.com/english/advisories/2011/1225
http://secunia.com/advisories/44590/
http://www.adobe.com/support/security/bulletins/apsb11-11.html
http://www.vupen.com/english/advisories/2011/1224
http://secunia.com/advisories/44589/

Font: VUPEN

CSIRT-CV