Un grupo de investigadores de seguridad ha detectado una nueva vulnerabilidad dentro de diferentes contenidos Flash que había sido solucionada en el SDK de Adobe Flex en el año 2011, pero que ha vuelto a aparecer en la herramienta y aún sigue siendo posible explotarla.
Todas las aplicaciones que han sido compiladas en los últimos años
con las versiones anteriores a 4.6 de Adobe Flex actualmente son vulnerables a
este fallo de seguridad y están comprometiendo la seguridad de sus usuarios.
La vulnerabilidad, que
recibió el nombre de CVE-2011-2461, permite a un atacante inyectar scripts
aleatorios dentro del código HTML desde fuentes no autorizadas. Explotando esta
vulnerabilidad los atacantes son capaces de robar datos personales de las
víctimas e incluso de suplantar su identidad en las diferentes webs publicando
contenido en su nombre.
A partir de este momento
ya no es tarea de los usuarios protegerse frente a esta vulnerabilidad, sino
que son los propios desarrolladores y administradores quienes tienen que volver
a compilar sus contenidos Flash con las versiones más recientes (o antiguas
pero con el parche de seguridad correspondiente) del SDK de Adobe para que esta
vulnerabilidad quede solventada.
Los investigadores de
seguridad se han puesto en contacto en los últimos meses de forma privada con
cientos de páginas web populares vulnerables (3 de ellas estaba dentro del Top
10 de Alexa) recomendando actualizar su contenido y, hasta ahora, la mayoría de
los sitios publicaron de nuevo los componentes ya asegurados. Poco a poco el
resto de webs seguirá compilando sus contenidos Flash con la versión más
actualizada del SDK para impedir que sus usuarios puedan verse víctimas de
piratas informáticos a través de sus portales.
Fuente: Softpedia