Adobe ha publicado una actualización para Adobe Flash
Player para evitar tres nuevas vulnerabilidades que afectan al popular
reproductor. Los problemas podrían permitir a un atacante tomar el control de
los sistemas afectados.
Recursos afectados
Las
vulnerabilidades afectan a las versiones:
- Adobe Flash Player 14.0.0.125 (y anteriores) para Windows y Macintosh
- Adobe Flash Player 11.2.202.378 (y anteriores) para Linux.
- Esta actualización, publicada bajo el boletín APSB14-17, incluye controles de validación adicional para asegurar que Flash Player rechaza contenido malicioso desde llamadas JSONP vulnerables (CVE-2014-4671). Un problema del que Adobe no ha dado detalles, pero que según se ha revelado Michele Spagnuolo (ingeniero de seguridad de Google) en su blog, el fallo permitía a un atacante conseguir las cookies de determinados sitios que utilizan Flash, exponiendo los datos de los usuarios. Sitios como Google, YouTube, Twitter o Instagram se veían afectados y rápidamente han tenido que poner medidas para solucionar el problema.
- La actualización también resuelve dos vulnerabilidades de salto de medidas de seguridad (CVE-2014-0537, CVE-2014-0539).
Adobe ha
publicado las siguientes versiones de Adobe Flash Player destinadas a
solucionar las vulnerabilidades, y se encuentran disponibles para su descarga
desde la página oficial:
- Adobe Flash Player 14.0.0.145 para Windows y Macintosh.
- Adobe Flash Player 11.2.202.394 para Linux.
- Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.
- Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb14-17.html