30 de marzo de 2015

WEBS CON FLASH. Vulnerables a un fallo corregido en 2011

Un grupo de investigadores de seguridad ha detectado una nueva vulnerabilidad dentro de diferentes contenidos Flash que había sido solucionada en el SDK de Adobe Flex en el año 2011, pero que ha vuelto a aparecer en la herramienta y aún sigue siendo posible explotarla. 
Todas las aplicaciones que han sido compiladas en los últimos años con las versiones anteriores a 4.6 de Adobe Flex actualmente son vulnerables a este fallo de seguridad y están comprometiendo la seguridad de sus usuarios.
La vulnerabilidad, que recibió el nombre de CVE-2011-2461, permite a un atacante inyectar scripts aleatorios dentro del código HTML desde fuentes no autorizadas. Explotando esta vulnerabilidad los atacantes son capaces de robar datos personales de las víctimas e incluso de suplantar su identidad en las diferentes webs publicando contenido en su nombre.
A partir de este momento ya no es tarea de los usuarios protegerse frente a esta vulnerabilidad, sino que son los propios desarrolladores y administradores quienes tienen que volver a compilar sus contenidos Flash con las versiones más recientes (o antiguas pero con el parche de seguridad correspondiente) del SDK de Adobe para que esta vulnerabilidad quede solventada.
Los investigadores de seguridad se han puesto en contacto en los últimos meses de forma privada con cientos de páginas web populares vulnerables (3 de ellas estaba dentro del Top 10 de Alexa) recomendando actualizar su contenido y, hasta ahora, la mayoría de los sitios publicaron de nuevo los componentes ya asegurados. Poco a poco el resto de webs seguirá compilando sus contenidos Flash con la versión más actualizada del SDK para impedir que sus usuarios puedan verse víctimas de piratas informáticos a través de sus portales.
Fuente: Softpedia