Adobe ha publicado un boletín de
seguridad para Adobe Flash Player, que en esta ocasión soluciona un '0-day' y
otras 3 vulnerabilidades que afectan al popular reproductor
Adobe ha publicado un boletín de
seguridad (APSB18-19) que corrige cuatro vulnerabilidades en su reproductor
Flash Player para Windows, macOS, Linux y Chrome OS. Dos de estas vulnerabilidades
son de carácter crítico (una de ellas un '0-day') y las dos restantes están
clasificadas como importantes.
Según
sus identificadores CVE, los errores de seguridad son los siguientes:
- CVE-2018-4945:
un error de confusión de tipos que podría permitir la ejecución de código
arbitrario en el contexto del usuario. Este fallo de seguridad ha sido
descubierto por Jihui Lu de Tencent KeenLab y willJ de Tencent PC Manager
trabajando junto a Trend Micro's Zero Day Initiative.
- CVE-2018-5000:
un desbordamiento de enteros que permitiría la revelación de información.
Ha sido reportada anónimamente a través de Trend Micro's Zero Day
Initiative.
- CVE-2018-5001:
una lectura fuera de límites que también permitiría revelar información.
Ha sido reportada anónimamente vía Trend Micro's Zero Day Initiative.
- CVE-2018-5002:
un desbordamiento de memoria que permitiría ejecutar código arbitrario.
Esta vulnerabilidad ha sido descubierta de manera independiente por
Chenming Xu y Jason Jones de ICEBRG, Bai Haowen, Zeng Haitao y Huang
Chaowen de 360 Threat Intelligence Center (360 Enterprise Security Group),
y Yang Kang, Hu Jiang, Zhang Qing, y Jin Quan de Qihoo 360 Core Security.
Existe un exploit
'0-day' para esta última vulnerabilidad (CVE-2018-5002) que está siendo
explotada, y se tiene constancia de su utilización en ataques dirigidos contra
usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de
Office con contenido incrustado malicioso de Flash Player distribuido por
correo electrónico, con nombres como '***salary.xlsx' para llamar la atención
del usuario.
Las vulnerabilidades
afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para
Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y
Edge.
Adobe ha publicado la
versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las
vulnerabilidades anteriormente expuestas, y se encuentran disponibles para su
descarga desde la página oficial.
Adobe recomienda a
los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux
actualizar a través del sistema de actualización del propio producto o desde
'Adobe Flash Player Download Center'.
Más
información:
·
Security
updates available for Flash Player | APSB18-19: https://helpx.adobe.com/security/products/flash-player/apsb18-19.html
·
Adobe
Flash Player Download Center: https://get.adobe.com/flashplayer/
·
CVE-2018-5002
– Analysis of the Second Wave of Flash Zero-day Exploit in 2018: http://blogs.360.cn/blog/cve-2018-5002-en/
Fuente: Hispasec.com