• Tweet

Brad Arkin, director en seguridad y privacidad de productos de Adobe, emitió un comunicado oficial acerca de las acusaciones que señalaban que Adobe había omitido 400 huecos de seguridad en la más reciente actualización de Flash Player. El aviso sólo mencionó 13 huecos de seguridad en los números oficiales CVE (Common Vulnerability Enumeration), estos números sirven para identificarlos de forma exclusiva.

Sin embargo, el miembro del equipo de seguridad de Google, Tavis Ormandy, se quejó de que había notificado a Adobe 400 potenciales huecos de seguridad que no se habían incluido en el aviso. Arkin mencionó que las fallas no fueron mencionadas oficialmente porque fueron descubiertas como parte del ciclo de vida de seguridad del producto seguro de Adobe (SPLC). El ejecutivo explicó que Adobe no asigna el numero de CVE a las fallas descubiertas internamente, y que el número de CVE es solamente para las fallas que son del dominio publico. La misma política se aplica si un error es reportado por un asociado – pues Google coopera con Adobe, al menos en cuanto a problemas de seguridad de Flash Player se refiere.

Además, Arkin mencionó que Ormandy encontró la mayoría de las fallas por fuzzing, la cual aparentemente encontró 400 afectaciones, pero bien podrían reducirse a 106 únicas fallas. En la primera versión del aviso, Adobe consideró que Ormandy y Google realizaron un “gran trabajo en varias mejoras de esta versión de Flash Player”, pero parece que este reconocimiento no fue suficiente para Ormandy. Adobe actualizó el aviso y agregó explícitamente a Ormandy en primer lugar del CVE con el numero CVE-2011-2424. Este numero CVE ha sido asignado por la CVE para hacer referencia a las fallas reportadas por Ormandy.