Actualización para Adobe Analytics AppMeasurement para librería Flash

Tras las recientes actualizaciones de Adobe de los últimos días, la
compañía ha publicado una actualización para Analytics AppMeasurement
para librería Flash que podría permitir la construcción de ataques de
cross-site scripting basado en DOM.

En el boletín de seguridad APSB16-13 de Adobe se recoge una
actualización, calificada como importante, para Adobe Analytics
AppMeasurement para librería Flash versión 4.0 (y anteriores). Los
desarrolladores pueden añadir este componente a los proyectos para
registrar cuanta gente usa la aplicación Flash y lo que hace.

El problema solo afecta a AppMeasurement para Flash cuando esté activa
la opción “debugTracking” (en la configuración por defecto está
desactivada).

La vulnerabilidad (con CVE-2016-1036), de la que no se han facilitado
detalles, podría permitir a un atacante construir ataques de cross-site
scripting basados en DOM. En los ataques XSS basados en DOM se modifica
el entorno DOM en el navegador de la víctima. Esto es, la página en sí
(la respuesta http) no cambia (como ocurre en los XSS tradicionales),
pero el código contenido en la página en el lado del cliente se ejecuta
de forma diferente debido a las modificaciones realizadas por el ataque
en el entorno DOM.

El problema fue reportado por el investigador Randy Westergren
(@RandyWestergren) que ha confirmado que en un par de semanas
publicará los detalles técnicos.
https://twitter.com/RandyWestergren/status/723205398795313152

Adobe ha publicado Analytics AppMeasurement para librería Flash 4.0.1.
El problema debe ser corregido por los desarrolladores, que deberán
reconstruir los proyectos con la librería actualizada, disponible para
descarga desde la consola Analytics.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/04/actualizacion-para-adobe-analytics.html