Actualización de seguridad en Adobe Flash Player corrige 18 vulnerabilidades.


Adobe ha liberado las actualizaciones de seguridad para Flash Player que se encargan de un total de 18 vulnerabilidades, la mayoría de las cuales podrían ser aprovechadas para la ejecución de código arbitrario.



Las actualizaciones resuelven el use-after-free defecto recientemente revelado (CVE-2015-0313) que ha sido explotado en estado salvaje para la distribución del ransomware y del malware Bedep, que se utiliza para el uso de anuncios maliciosos y para descargar otras amenazas a las máquinas infectadas . Muchos de los ataques involucran operaciones de Malvertising diseñadas para atraer a los usuarios a sitios web que alojan el kit de explotación Hanjuan.

Adobe empezó a sacar parches para CVE-2015-0313 el 4 de febrero a través del mecanismo de actualización automática de Flash Player. El jueves, la empresa realiza las actualizaciones disponibles para su descarga manual. Además de este error, las actualizaciones abordan otras 17 vulnerabilidades.

Tres de ellos se refieren a errores en use-after-free (CVE-2015-0315, CVE-2015-0320, CVE-2015-0322) que podrían llevar a la ejecución remota en el código. Siendo reportadas por el investigador que utiliza el apodo en línea "bilou" y Jihui Lu de la KeenTeam a través del programa de recompensas de vulnerabilidades de Chrome.

Las últimas actualizaciones también resuelven seis vulnerabilidades de corrupción de memoria (CVE-2015-0314, CVE-2015-0316, CVE-2015-0318, CVE-2015-0321, CVE-2015-0329, CVE-2015-0330) identificadas por bilou, Robert Święcki de Google, Wen Guanxing de VenusTech ADLab, Mark Brand del Projecto Zero de Google y de un investigador anónimo.

Adobe también ha reparado dos vulnerabilidades de tipo confusión (CVE-2015-0317, CVE-2015-0319), dos desbordamientos de búfer de pila (CVE-2015-0323, CVE-2.015-0.327), y un desbordamiento de memoria (CVE-2015-0324), todo lo cual podría provocar la ejecución de código arbitrario, afirmó la compañía en una nota de asistencia.

Y varias cuestiones de referencia a un puntero nulo (CVE-2015-0325, CVE-2015-0326, CVE-2015-0328) también se han abordado.

Natalie Silvanovich e Ian Beer del Proyecto Zero de Google cada uno se acreditaron para dos vulnerabilidades.

Se recomienda a los usuarios que actualicen sus instalaciones de Flash Player a la versión 16.0.0.305 en Windows y Mac, la versión 13.0.0.269 de Soporte Extendido, y la versión 11.2.202.442 en Linux. Para Google Chrome e Internet Explorer en Windows 8.x, los parches se instalarán automáticamente.

Adobe ha estado muy ocupado en las últimas semanas. En enero, la compañía lanzó actualizaciones de seguridad para 9 vulnerabilidades, después de lo cual parchó dos vulnerabilidades de día cero con actualizaciones fuera de banda. Ante esta situación, muchos expertos aconsejan a los usuarios una vez más dejar de utilizar Flash.

Fuente: SecurityWeek