Flash Player 17.0.0.188 repara 18 agujeros de seguridad.

Share this…

No hay información de si las vulnerabilidades están siendo utilizadas en estado salvaje, pero los desarrolladores marcaron el lanzamiento con un grado de severidad crítica mereciendo una mayor atención de los usuarios de Windows y Mac, ya que se le ha asignado como de máxima prioridad.

Los participantes de Pwn2Own reportaron las fallas de Flash Player

Uno de los defectos reparados en la versión 17.0.0.188 del producto se refiere al tiempo de verificación del tiempo de uso (time-of-check time-of-use -TOCTOU) condición que podría ser aprovechada para omitir la función de modo protegido de Internet Explorer.

Quien se le acreditó el reporte de la vulnerabilidad es Jihui Lu del Equipo Keen, quien participó en la competencia Pwn2Own de este año. Junto con miembros de su equipo, pudieron vulnerar a Flash mediante el aprovechamiento de un error en el código de desbordamiento de pila mediante ejecución remota, obteniendo una recompensa de $ 60.000 / € 53.000.

Nicolas Joly, también participante del Pwn2Own, informó vía la iniciativa de HP, Día Cero, un problema que podría ser aprovechado para escribir datos arbitrarios en el sistema de ficheros bajo los permisos del usuario. Las versiones de Flash 17.0.0.169 y anteriores incluyen tres de estas vulnerabilidades.

Errores de ejecución en el código

El tipo de problemas técnicos que puedan permitir la ejecución de código arbitrario en el rango del sistema de corrupción de memoria, desbordamiento de pila, desbordamiento de entero, de tipo confusión y después del uso de una liberación.

Todos ellos fueron reportados por los investigadores externos, principalmente del Project Zero de Google (Chris Evans y Natalie Silvanovich) y por bilou, que trabajan con el Programa de Recompensa de vulnerabilidades de Chrome, de acuerdo con el aviso de seguridad publicado por Adobe el día Martes.

Adobe lanzó una nueva actualización de Flash Player, reparando un total de 18 vulnerabilidades, diez de las cuales podrían permitir a un atacante ejecutar código arbitrario en un equipo afectado.
Adobe lanzó una nueva actualización de Flash Player, reparando un total de 18 vulnerabilidades, diez de las cuales podrían permitir a un atacante ejecutar código arbitrario en un equipo afectado.

Chris Evans también ha informado de dos vulnerabilidades (CVE-2015-3091, CVE-2015-3092) que podrían ser aprovechados para eludir el ASLR (dirección de trazado aleatorio en el espacio) medida de seguridad utilizado para proteger contra ataques de desbordamiento de búfer.

La actualización a la nueva versión se realiza automáticamente para los usuarios de Google Chrome e Internet Explorer (en Windows 8 y superior), a través de la función de actualización automática de los navegadores. Lo mismo se aplica a las instalaciones de Flash si se tiene activada la característica de actualización automática.

Los usuarios también pueden instalar Adobe Flash Player 17.0.0.188 manualmente en Windows y Mac . En Linux , el número de versión es 11.2.202.460.

Fuente:https://www.forospyware.com/