Avisos 24 de December, 2012

Vulnerabilitats crítiques d'Adobe Shockwave Player

S'han fet públiques dos vulnerabilitats crítiques, producte Shockwave Player. Les vulnerabilitats poden ser aprofitades per comprometre la màquina.

 

Impacte
 
Execució de codi arbitrari, fuita d'informació i denegació de servei.
 
Productes afectats
 
Adobe Shockwave 11
 
Adobe Shockwave Player 11.6.8.638, versions anteriors per a Windows i Macintosh.
 
Solució
 
Adobe no ha publicat cap actualització d'Adobe Shockwave Player, recomanem estar pendents de la seva publicació, utilitzar EMET si és possible (Microsoft Enhaced Mitigation Experience Toolkit), no fer ús de l'aplicació si no estem segurs de la procedència del contingut que volem reproduir, i la seva reproducció sigui realment necessaria.
 
Les versions més recents del producte, amb la seva configuració per defecte, realitzen comprovacions d'actualització de forma automàtica en obrir un nou arxiu Shockwave (.DCR). Es pot comprovar si aquesta funcionalitat està activada al menú contextual, dins de l'apartat Propietats>Servei d'actualització automàtica. Per accedir en aquest menú, cal clicar al botó dret a Windows o Control+clic a Macintosh sobre una pel•lícula Shockwave, coma por exemple (http://www.adobe.com/shockwave/welcome/).
 
Detall
 
La primera vulnerabilitat està associada amb la capacitat d'Adobe Shockwave Player per instal.lar automàticament una versió anterior del runtime. Mitjançant codi HTML especialment dissenyat, es podria executar codi des de remot amb els mateixos permisos que l'usuari que executa el reproductor.
 
Codi vulnerabilitat: CVE-2012-6270
 
La segona vulnerabilitat, està associada amb la utilització de Xtras per la visualització de vídeos. En el cas que un Xtra estigui firmat per Adobe o Macromedia, s'instal.larà automàticament sense autorització d'usuari. Això permet la manipulació de vídeos amb la finalitat de poder descàrrega i instal.lar Xtras maliciosos que podrien permetre l'execució de codi des de remot.
 
Codi vulnerabilitat: CVE-2012-6271
 
Referències
 
Avís de US-CERT/NIST
Avís de US-CERT/NIST
Publicat a: Avisos