Adobe de nuevo ha vuelto a publicar otra actualización para Flash Player.
Detalle de la actualización
- Esta actualización, publicada bajo el boletín APSB15-04, resuelve 18 vulnerabilidades, incluido el 0-day del pasado martes, todas podrían permitir la ejecución de código arbitrario.
- Cuatro vulnerabilidades de uso de memoria después de liberarla (CVE-2015-0313, CVE-2015-0315, CVE-2015-0320 y CVE-2015-0322).
- Seis vulnerabilidades que podrían causar una corrupción de la memoria (CVE-2015-0314, CVE-2015-0316, CVE-2015-0318, CVE-2015-0321, CVE-2015-0329 y CVE-2015-0330).
- Dos vulnerabilidades de confusión de tipos (CVE-2015-0317 y CVE-2015-0319).
- Otras tres de desbordamiento de búfer (CVE-2015-0323, CVE-2015-0327 y CVE-2015-0324).
- Y fallos de desreferencia de puntero nulo (CVE-2015-0325, CVE-2015-0326 y CVE-2015-0328).
Otros detalles de la actualización
- La última vulnerabilidad 0-day corregida anteriormente, con CVE-2015-0313, estaba explotándose de forma activa mediante ataques "drive-by-download", es decir bastaba con visitar una web manipulada para infectarse. Sin que el usuario realice ninguna acción. En general la acción se realiza a través de anuncios en sitios web legítimos. Aunque Adobe publicó una actualización expresamente para evitar este ataque, también está incluido en este boletín. Más vale prevenir…
- Trend Micro, compañía que descubrió el 0-day, confirmó que por las similitudes en técnicas de ofuscación y cadenas de infección todo indicaba que se ejecutaba a través del ya conocido kit de exploits Angler. Principalmente el ataque se produjo a través de anuncios en el conocido sitio web dailymotion.com (aunque no se limitaba a esta única web) redirigiendo a la url "hxxp://www.retilio.com/skillt.swf" donde se alojaba el exploit en sí mismo.
- En esta ocasión, Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 16.0.0.305
- Flash Player Extended Support Release 13.0.0.269
- Flash Player para Linux 11.2.202.442
- Igualmente se ha publicado la versión 16.0.0.305 de Flash Player para Internet Explorer y Chrome.
- Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb15-04.html
- Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/