Un nuevo error de seguridad descubierto en Flash revela que un atacante podría tomar el control de nuestro PC. Quizá ya va siendo hora de abandonarlo por HTML5.
Que Adobe Flash tiene más agujeros que un queso emmental es algo que ya no sorprende a nadie. Es de dominio público que esta tecnología tendría que desaparecer y dejar paso, de una vez por todas, a HTML5. Parece que ese día feliz en el que Flash desaparecerá finalmente de Internet aún está muy lejos, y mientras tanto tenemos que seguir al corriente de la ingente cantidad de vulnerabilidades que se descubren en su interior. Lo peor de todo esto es que la situación de Flash es como ver la película Titanic: sabes que al final el barco se hundirá y arrastrará a mucha gente consigo, pero aún así sigues mirando la pantalla.
Esto viene al retortero de una noticia publicada hoy en The Hacker News, en la que se alerta de una nueva vulnerabilidad crítica en Adobe Flash que será corregida con la liberación de un parche de actualización. Antes de entrar en materia, sin embargo, vamos a poner las cosas en perspectiva para ver si, de paso, podemos aportar nuestro granito de arena en el proceso de adopción de HTML5.
Adobe Flash, 747 vulnerabilidades en 11 años
Según se puede leer en un informe publicado por CVE Details, Adobe Flash ha acumulado la friolera de 747 vulnerabilidades en sus 11 años de existencia. Esto supone unos 6 nuevosbugs al mes, casi 68 al año. La primera que se documenta data de 2005, y en lo que llevamos de 2016 ya se tiene constancia de, al menos, 55.
De todo este batiburrillo de números podemos deducir que el 81,5% se corresponden a vulnerabilidades de ejecución de código, lo que significa que se puede infectar Flash con código malicioso para realizar cualquier rutina que el atacante considere en el ordenador de la víctima. Llama también la atencion el 36,1% de los agujeros relacionados con ataques DDoS y el 41,9% de bugs que propician ataques por Buffer Overflow.
Si atendemos a las vulnerabilidades por año, 2015 fue el peor año para Adobe Flash, con 314bugs que permitían algún tipo de intrusión descubiertos. Lo peor del asunto es que, dado el ritmo que lleva este 2016, bien podría ser un año igual de horrible o peor para el producto de Adobe.
Fijándonos ahora en las vulnerabilidades por tipo, de las 747 descubiertas en total 609 se corresponden con ataques por ejecución de código. Los ataques por Buffer Overflow se sitúan en segundo lugar con 313 y los DDoS en tercer puesto con 270.
Estos datos se han recogido teniendo en cuenta las CVE de Adobe Flash. Estas son las siglas de Common Vulnerabilities and Exposures, o lo que es lo mismo, los agujeros de seguridad y las amenazas más comunes a las que se enfrenta este clásico de la web.
Esta es la vulnerabilidad número 56 de Flash en 2016
O al menos eso es lo que parece. El bug responde al nombre de CVE-2016-1019 y se extiende a Windows, Linux, OS X y Chrome OS. Sus descubridores han sido un investigador de seguridad francés conocido como Kafeine, un empleado de FireEye llamado Genwei Jiang y un tal Clement Lecigne que trabaja para Google. Y para más inri, esta vulnerabilidad está siendo explotada de forma activa en Internet.
En cuanto a qué hace CVE-2016-1019, permite que un atacante pueda aprovecharse de Flash para colgar el sistema infectado y apoderarse de él. Este bug ha provocado que los ingenieros de Adobe se pongan a trabajar a toda prisa en un método de mitigación, que se liberará en un parche de emergencia bajo el nombre Flash Player 21.0.0.182. Esta actualización debería llegar mañana jueves.
Adobe suele lanzar sus actualizaciones el segundo martes de cada mes —igual que Microsoft—. Los parches de emergencia se lanzan cuando la empresa lo considera conveniente, en base a la seriedad de la vulnerabilidad descubierta.
Ya va siendo hora de acabar con Flash
Adobe no para de lanzar actualizaciones para Flash. Y aún con todo no se ha podido garantizar su seguridad de ninguna manera. A los usuarios no nos queda otra que deshabilitar o desinstalar Adobe Flash Player, y quizá la empresa creadora de Photoshop debería plantearse lo mismo.
Va siendo hora de afrontar que Flash está muerto y su tiempo pasó hace mucho. YouTube ahora sólo sirve vídeos en HTML5. Firefox bloqueó por completo el plugin de Flash el año pasado. Hasta Facebook ha dicho públicamente que Adobe debe anunciar una fecha de desaparición para este producto. Chrome, por su parte, ha empezado a bloquear automáticamente los anuncios que se reproducen automáticamente y hacen uso de esta tecnología.
Cuanto antes digamos adiós a Flash, mucho mejor. Será más beneficioso para nosotros como usuarios. A lo mejor así Adobe deja de ponerse en ridículo actualizando Flash para que, al poco tiempo, otro error vuelva a ponerlo todo patas arriba.
Fuente:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
