Avisos 27 de February, 2013

Actualització crítica d'Adobe Flash

Adobe ha publicat un butlletí de seguretat amb actualitzacions per solucionar diverses vulnerabilitats pel seu producte Flash Player. Les vulnerabilitats són de nivell crític, i poden ser aprofitades per comprometre la màquina. S'ha detectat que les dues vulnerabilitats estan sent explotades activament.

 

Impacte
 
Execució de codi arbitrari.
 
Productes afectats
 
Adobe Flash Player 11.6.602.168 i versions anteriors per sistemes Windows.
Adobe Flash Player 11.6.602.167 i versions anteriors per sistemes Macintosh.
Adobe Flash Player 11.2.202.270 , i versions anteriors per sistemes Linux.
 
Solució
 
Les versions més recents del producte amb la seva configuració per defecte, realitzen comprovacions d'actualització de forma automàtica i periòdicament, instal•la les noves versions sense necessitat d'intervenció de l'usuari. També es pot activar la comprovació manualment al Tauler de Control->Flash->Pestanya Avançat-> Comprovar ara.
 
La versió de Flash Player instal•lada amb Google Chrome serà actualitzada automàticament, i no necessita cap acció de l'usuari. Es pot comprovar revisant que la versió de Flash instal•lada sigui la 11.6.602.171 o posterior per Windows, Macintosh i Linux. També es pot comprovar mitjançant la pàgina de gestió de plugins del navegador (escriure "about:plugins" o "chrome://plugins" a la barra d'adreces).
 
La versió de Flash Player instal•lat amb Internet Explorer 10, s'actualitzarà automàticament amb una nova versió d'Internet Explorer 10, que inclourà Adobe Flash Player 11.6.602.171 per a Windows.
 
Les actualitzacions publicades també poden descarregar-se consultant el butlletí d’Adobe, on s'inclouen les adreces de descàrrega directa de les noves versions i les instruccions d’instal•lació per cada producte.
 
Per als usuaris que no puguin actualitzar a Flash Player 11, Adobe ha desenvolupat una versió corregida de Flash Player 10.x, Flash Player 10.3.183.67, que es pot descarregar des de la pàgina de l'avís de seguretat (veure Referències).
 
Detall
 
El fabricant ha rebut informació de que aquestes vulnerabilitats estan sent explotades activament, amb atacs mitjançant arxius de tipus Flash (.swf) maliciosos allotjats a llocs web, i que tenen com a objectiu el reproductor Flash per a Firefox.
 
APSB13-08:
   o CVE-2013-0643: problema amb els permisos a l'entorn d'execució protegit (sandbox) pel reproductor Flash al navegador Firefox.
   o CVE-2013-0648: vulnerabilitat a la funcionalitat ExternalInterface d'ActionScript del reproductor Flash quan s'executa dins del navegador Firefox, que pot ser explotada per executar codi maliciós.
   o CVE-2013-0504: vulnerabilitat de desbordament de memòria intermèdia a un servei intermediari que podria permetre l'execució de codi de forma remota.
 
Referències
 
Avís de seguretat d'Adobe APSB13-08
http://www.adobe.com/support/security/bulletins/apsb13-08.html
Avís de seguretat amb actualització per Internet Explorer 10
http://technet.microsoft.com/en-us/security/advisory/2755801
Publicat a: Avisos