Macromedia ha publicado un aviso indicando la existencia de una
vulnerabilidad de seguridad crítica en la versión 6 del reproductor Flash (que se estima está instalado en el 75% de los ordenadores existentes en todo el mundo con capacidad de conexión a Internet).
Según las estadísticas publicadas por la propia empresa fabricante, actualmente existen en el mundo más de 512 millones de ordenadores donde está instalado el reproductor Flash, en alguna de sus versiones.
El pasado lunes Macromedia anunció la existencia de diversos problemas de seguridad en las versiones del reproductor Flash anteriores a la 6.0.79.0.
Esta vulnerabilidad afecta a los usuarios de los principales navegadores web (Internet Explorer, Neoplanet, Netscape, Opera y potencialmente cualquier otro navegador que disponga de un reproductor Flash). Estos problemas de seguridad pueden ser aprovechados por un atacante remoto para forzar la ejecución de código arbitrario o bien acceder al contenido de
los archivos presentes en el ordenador del usuario.
El primer problema es un desbordamiento de búfer que puede ser explotado a través de un código Flash que en el momento de ser cargado por el reproductor Flash provoque la ejecución de código arbitrario en el ordenador del usuario. Este código se ejecutará con los privilegios del usuario que esté cargando el código (habitualmente, el usuario activo del sistema).
El segundo problema es la posibilidad de que código Flash especialmente creado pueda comprometer los mecanismos de integridad de la sandbox del reproductor Flash. La sandbox es un área restringida para la ejecución del código Flash de forma que cualquier anomalía en la misma quede contenida dentro de esa área, sin afectar al resto del sistema. Esta vulnerabilidad puede ser aprovechada para acceder a los objetos presentes en el ordenador del usuario.
En ambos casos, Macromedia no ha publicado detalles específicos sobre la naturaleza de las vulnerabilidades.
Para evitar ambas vulnerabilidades es preciso instalar la versión 6.0.79.0 o posterior del reproductor Flash. Desgraciadamente no existe ninguna forma fiable de determinar la presencia del reproductor Flash en una máquina ni la versión del mismo. Por lo tanto, lo único que podemos hacer es sugerir a todos aquellos usuarios que visiten páginas web con contenido Flash que procedan a la actualización del reproductor. Para ello, sólo es
necesario visitar esta URL:
http://www.macromedia.com/go/getflashplayer/
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1594/comentar
Más información
MPSB03-03 Security Patch for Macromedia Flash Player
http://www.macromedia.com/devnet/sec...mpsb03-03.html
Macromedia Flash Player Potential Vulnerabilities
http://www.secunia.com/advisories/8208/
Macromedia Flash Player Has Unspecified Buffer Overflow That May Allow
Remote Users to Execute Arbitrary Code
http://www.securitytracker.com/alert...r/1006207.html
Macromedia Flash Player Adoption Statistics
http://www.macromedia.com/software/p...s/flashplayer/
Xavier Caballé
[email protected]