1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2825/02/2009=29_Actualizaci=F3n_por_vulnerab

    From noticias@hispasec.com@2:341/201.99 to All on Thu Feb 26 03:50:00 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 25/02/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Actualización de Flash Player por vulnerabilidades de ejecución de código
    -------------------------------------------------------------------------

    Adobe ha publicado una actualización para Flash Player que soluciona
    numerosos problemas de seguridad que podrían permitir a un atacante
    remoto ejecutar código arbitrario en el sistema vulnerable.

    Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido
    y distribuido por Adobe tras su adquisición de Macromedia en el 2005.
    Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y
    Palm OS entre otras.

    A continuación se especifican las vulnerabilidades corregidas.

    1- Una referencia a un objeto no válido podría permitir a un atacante
    remoto ejecutar código arbitrario a través de un archivo Flash
    especialmente manipulado. Esta vulnerabilidad, descubierta por Javier
    Vicente Vallejo y reportada a través de iDefense, fue notificada al
    equipo de Adobe el pasado mes de agosto.

    2- Un error de validación de entrada que podría causar una denegación
    de servicio, e incluso permitir la ejecución remota de código.

    3- Se ha corregido un error no especificado relacionado con Settings
    Manager que podría permitir ataques de clickjacking.

    4- Un fallo no especificado relacionado con la visualización por
    pantalla del puntero del ratón podría permitir ataques de clickjacking
    en sistemas Windows.

    5- Revelación de información sensible, a través del binario de Flash
    Player para Linux, que podría permitir una escalada de privilegios.
    Adobe no ha proporcionado detalles técnicos acerca de las
    vulnerabilidades, aunque especifica que explotando la primera, y
    posiblemente la segunda, un atacante podría ejecutar código arbitrario
    si el usuario reproduce un fichero SWF especialmente manipulado.

    Los productos y versiones afectados son:
    Adobe Flash Player version 10.0.12.36 y anteriores.
    Adobe Flash Player version 10.0.15.3 para Linux y anteriores.
    Adobe AIR 1.5.
    Adobe Flash CS4 Professional.
    Adobe Flash CS3 Professional.
    Adobe Flex 3.

    Debido a gravedad de los fallos corregidos y a las múltiples
    posibilidades de explotación, se recomienda aplicar las actualizaciones
    de seguridad a la mayor brevedad posible.

    Para Adobe Flash Player actualizar a las versiones 10.0.22.87 o
    9.0.159.0, desde: http://get.adobe.com/es/flashplayer/

    Para Adobe Air, se recomienda instalar la última versión (v.1.5.1)
    desde: http://get.adobe.com/es/air/

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3777/comentar

    Más información:

    Security Advisories : APSB09-01 - Flash Player update available to
    address security vulnerabilities http://www.adobe.com/support/security/bulletins/apsb09-01.html

    Adobe Flash Player Invalid Object Reference Vulnerability http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773

    16/10/2008 Adobe Flash 10 y las vulnerabilidades "oportunas" http://www.hispasec.com/unaaldia/3645


    Pablo Molina
    pmolina@hispasec.com


    Tal día como hoy:
    -----------------

    25/02/2008: Actualización de BIND 8 para Sun Solaris 8 y 9
    http://www.hispasec.com/unaaldia/3411

    25/02/2007: Ejecución de código a través de DCE/RPC en Snort 2.x
    http://www.hispasec.com/unaaldia/3046

    25/02/2006: Actualización del kernel para Mandriva Corporate 2.1 y 3.0
    http://www.hispasec.com/unaaldia/2681

    25/02/2005: Vulnerabilidad crítica en productos Trend Micro
    http://www.hispasec.com/unaaldia/2316

    25/02/2004: Gusano Netsky.C, más de lo mismo
    http://www.hispasec.com/unaaldia/1949

    25/02/2003: Gusano/troyano "Lovgate" responde a los e-mails
    http://www.hispasec.com/unaaldia/1584

    25/02/2002: Corrección de una vulnerabilidad de Microsoft Commerce Server 2000
    http://www.hispasec.com/unaaldia/1219

    25/02/2001: Outlook vulnerable por las vCard
    http://www.hispasec.com/unaaldia/854

    25/02/2000: El cortafuegos FireWall-1 deja desprotegidos los servidores FTP
    http://www.hispasec.com/unaaldia/486

    25/02/1999: Problemas en Outlook Express con PGP 6.02i
    http://www.hispasec.com/unaaldia/121


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)