Nuevo 0-day en Flash Player, o el cuento de nunca acabar

Ni siquiera el hecho de ser una tecnología en retirada está salvando a Adobe Flash Player de vulnerabilidades 0-day. En esta ocasión es el CERT de Corea del Sur el que detecta una vulnerabilidad desconocida que ya está siendo activamente explotada.

Aunque quedan tres años para el adios definitivo a Adobe Flash, aun hay tiempo suficiente para que los atacantes sigan viendo en este un vector de ataque con garantías de éxito. Esta vez se trata de una vulnerabilidad 0-day en Adobe Flash Player, que según el aviso publicado por el CERT de Corea del Sur está siendo activamente explotada.

Identificada como CVE-2018-4878 y catalogada como crítica, la vulnerabilidad se basa en un fallo ‘use-after-free’ que puede dar lugar a la ejecución de código arbitrario de forma remota. Entre los sistemas afectados se encuentran todas las versiones de Flash Player hasta la 28.0.0.137 (esta incluida) en las versiones para navegadores Chrome, Internet Explorer y Edge. También están afectadas las versiones de escritorio para Windows, Macintosh, Linux y ChromeOS.

Adobe, según anuncia en su propio boletín, no publicara parches para solucionar esta vulnerabilidad hasta algún momento indeterminado de la semana próxima, a pesar de que reconoce saber que está siendo explotada.

A este respecto, el vector utilizado está siendo documentos de Microsoft Office que embeben contenido Flash malicioso. Por tanto, el ataque en cuestión tiene como objetivo a usuarios de Microsoft Windows. Aunque las fuentes oficiales no se han pronunciado, algunos investigadores apuntan a que puede estar relacionado con prácticas de espionaje de Corea del Norte desde al menos mediados de noviembre.

Mientras Adobe no publica una nueva versión que solucione la vulnerabilidad, las contramedidas ofrecidas pasan por configurar Flash Player para que pida autorización para ejecutar ficheros Flash o activar la vista protegida de Microsoft Office, que abrirá los ficheros potencialmente inseguros en modo de solo lectura.

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies