Adobe parchea dos vulnerabilidades críticas halladas en Flash

Aunque Flash lleva ya algún tiempo fuera del primer plano en la informática de consumo, sobre todo por el empuje de HTML5 para la reproducción de contenidos multimedia, eso no quiere decir que haya dejado de ser un quebradero de cabeza en términos de seguridad.

De hecho, la misma Adobe parcheó el pasado mes de febrero una vulnerabilidad que estaba siendo explotada por los hackers de Corea del Norte, lo que significa que esta tecnología todavía tiene peso en los programas de ciberespionaje y ciberataques de los gobiernos. Más recientemente, la desarrolladora de Flash ha anunciado parches contra dos vulnerabilidades consideradas críticas y otras dos consideradas como importantes. Una de las críticas estaba siendo explotada de forma activa contra los usuarios de Windows.

La vulnerabilidad crítica explotada de forma activa (CVE-2018-5002) es un desbordamiento de buffer que podía ser provocada mediante la ejecución de código en remoto. El hecho de que apunte sobre todo contra usuarios de Windows tiene un motivo, y es que la campaña tras los ataques se ha apoyado en documentos de Microsoft Office que llegaban a las potenciales víctimas a través de correo electrónico, siendo este un software usado principalmente en Windows aunque haya varios sistemas operativos soportados, como macOS.

Sobre las versiones afectadas están Adobe Flash Player estándar y Desktop Runtime 29.0.0.171 y anteriores para Linux, Windows, macOS, la implementación introducida en Google Chrome y la versión para los navegadores de Microsoft (Internet Explorer y Edge) sobre Windows 10 y 8.1. La vulnerabilidad fue descubierta por investigadores de distintas organizaciones, entre las que se encuentran ICEBERG, 360 Enterprise Security Group y Qihoo 360 Core Security.

Adobe ha publicado un parche adicional para la otra vulnerabilidad crítica (CVE-2018-4945), que permitía la ejecución de código en remoto y fue descubierta por dos investigadores de Tencent que estaban trabajando para la Zero Day Initiative de Trend Micro. Sobre las dos vulnerabilidades consideradas como importantes, una era un desbordamiento de entero (CVE-2018-5000) y la otra un problema de lectura que se producía fuera de los límites (CVE-2018-5001).

Lo recomendable sería esquivar el uso de Flash, ya que actualmente HTML5 está lo suficientemente maduro y extendido como para sustituirlo. Sin embargo, en caso de necesitar usarlo, lo suyo sería actualizar a la versión 30.0.0.113 o superior, cosa que se hace de forma automática en los casos de Google Chrome, Microsoft Edge e Internet Explorer sobre Windows 10 y 8.1. En el caso de los usuarios de Chrome sobre Linux, en las últimas horas les habrá aparecido una actualización del navegador por los canales habituales.

Fuente: ThreatPost