Adobe lanzó su segunda actualización no prevista de Adobe Flash en este mes. APSB14-07 corrige tres vulnerabilidades en Adobe Flash, incluyendo CVE-2014-0502, que se está utilizando para atacar a los usuarios a través de páginas web maliciosas.

La falla 0-day en Flash CVE-2014-0502 fue descubierta hace una semana aproximadamente por la compañía FireEye, quien afirma haberla encontrado en los sitios web que se encuentran a cargo de tres instituciones sin fines de lucro. Afortunadamente, las organizaciones que ejecutan sistemas operativos y código de aplicación actualizados no se ven afectados por el ataque, ya que carecen de los componentes vulnerables que permiten que el ataque concluya exitosamente.

Para tener éxito, el ataque tiene que eludir particularmente el ASLR (Address Space Layout Randomization), por lo que solamente se centra en determinadas configuraciones:

• Windows XP (el cual no tiene ASLR)
• Windows 7 con Java 1.6 instalado, lo que permite evadir el ALSR, sin embargo, Java 1.6 ya está en desuso y es en general, vulnerable a otros ataques de exploit.
• Windows 7 con una versión no totalmente actualizada de Office 2007 u Office 2010, también resulta vulnerable a ataques.

Nuestra recomendación es realizar actualizaciones lo antes posible. Las organizaciones que manejan cualquiera de las configuraciones antes mencionadas tienen que hacerlo a la brevedad, las demás pueden aplicar este parche en un horario normal, pero tienen que ser conscientes de que los atacantes pueden cambiar sus tácticas en cualquier momento para abusar de otros paquetes de software que también filtran posiciones de memoria.

Microsoft ha actualizado la advertencia KB2755801 que centraliza las actualizaciones de Flash en Internet Explorer 10 y 11. Los usuarios de IE10 o EI11, así como de Google Chrome, no necesitan actualizar Adobe Flash por separado, se maneja a través de sus navegadores automáticamente.