Adobe Systems lanzó actualizaciones de seguridad para Flash Player y AIR para enfrentar cuatro vulnerabilidades críticas que podrían llevar a la ejecución de código arbitrario y filtración de información.
Una de las vulnerabilidades, identificada como CVE 2014-0506, apareció de un bug por el uso de la memoria, mientras que otro, el CVE 2014-0507 es el resultado del overflow del buffer. Ambas vulnerabilidades podrían ser explotadas por atacantes para tomar control de un sistema afectado, según dijo Adobe en un aviso de seguridad publicado el martes.
La vulnerabilidad CVE 2014 0506 fue descubierta por investigadores de la firma de seguridad Vupen, que lo demostró durante la competencia de hacking Pwn2Own en marzo.
La tercera vulnerabilidad, rastreada como CVE 2014-0508, permite a un atacante evitar las protecciones de seguridad de Flash Player y leer información del sistema; y la cuarta vulnerabilidad, la CVE 2014-0509, permite ataques de scripting entre sitios.
Las nuevas actualizaciones son Flash Player 13.0.0.182 para Windows y Mac y Flash Player 11.2.202.350 para Linux. Las versiones de Flash Player que se descargan con Google Chrome, Internet Explorer 10 en Windows 8 e Internet Explorer 11 en Windows 8.1, serán actualizadas automáticamente a través de los mecanismos de actualización de dichos browsers.
Adobe también lanzó la versión 13.0.0.83 de AIR para aplicaciones de internet, debido a que el producto es lanzado junto con Flash Player y fue afectado por las mismas vulnerabilidades.
“Adobe no está al tanto de ataques que hayan usado estas vulnerabilidades”, dijo la compañía el martes.
Fuente: CIO / Lucian Constantin / 9-04-2014