Un nuevo ataque 0-day sale a la luz, en esta ocasión a través de Flash
Player. Adobe se ha visto obligado a publicar una actualización para corregir
esta vulnerabilidad (junto con otras dos).
Detalle e impacto de la vulnerabilidad
- El ataque 0-day ha sido identificado por FireEye (al igual que el que analizamos ayer a través de Internet Explorer). En esta ocasión la vulnerabilidad (identificada con CVE-2014-0502) afecta a la última versión de Flash Player (12.0.0.4 y 11.7.700.261) y se explotaba a través de la página web de tres organizaciones sin ánimo de lucro (www.piie.com, www.arce.org y www.srf.org), desde donde a través de un iframe oculto se redireccionaba al usuario a un servidor que alojaba y lanzaba el exploit propiamente dicho.
- El exploit emplea técnicas para evitar la protección ASLR (Address Space Layout Randomization) en sistemas Windows XP, Windows 7 con Java 1.6 y Windows 7 versiones no actualizadas de Microsoft Office 2007 o 2010. La vulnerabilidad podría permitir a un atacante sobrescribir el puntero "vftable" de un objeto Flash para provocar la ejecución de código arbitrario.
Detalle de la actualización
- Para corregir esta vulnerabilidad Adobe ha publicado una actualización para Flash Player, que además soluciona otros dos problemas. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 12.0.0.44 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.336 (y anteriores) para Linux.
- Esta actualización, publicada bajo el boletín APSB14-07, resuelve la vulnerabilidad detectada por FireEye con CVE-2014-0502, un desbordamiento de búfer que podría permitir la ejecución de código arbitrario (CVE-2014-0498) y una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2014-0499).
Recomendación
Adobe ha publicado las
siguientes versiones de Adobe Flash Player destinadas a solucionar las
vulnerabilidades, y se encuentran disponibles para su descarga desde la página
oficial:
- Adobe Flash Player 12.0.0.70 para Windows y Macintosh.
- Adobe Flash Player 11.2.202.337 para Linux.
Más información:
- Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb14-07.html
- Operation GreedyWonk: Multiple Economic and Foreign Policy Sites Compromised, Serving Up Flash Zero-Day Exploit http://www.fireeye.com/blog/technical/targeted-attack/2014/02/operation-greedywonk-multiple-economic-and-foreign-policy-sites-compromised-serving-up-flash-zero-day-exploit.html
- Documento informativo sobre seguridad de Microsoft (2755801) Actualización para las vulnerabilidades en Adobe Flash Player en Internet Explorer http://technet.microsoft.com/es-mx/security/advisory/2755801