Sistemas Afectados

1. Descripción

   Múltiples vulnerabilidades han sido reportadas en Adobe Flash Player, que pueden ser explotadas por personas maliciosas para poder evadir ciertas restricciones de seguridad o comprometer el sistema del usuario.

   1) Un error de verificación de frontera de buffer durante el manejo dinámico generado en tiempo de ejecución puede ser explotado para causar un buffer overflow vía cadenas excesivamente largas, pudiendo ejecutar instrucciones arbitrarias.

   2) Un error no especificado permite una evasión de la opción “allowScriptAccess”

   3) Usando un objeto “Shockwave Flash Object” es posible ejecutar archivos que contengan JavaScript dentro de documentos de office de forma automática cuando los documentos de office estén abiertos.

   Un archivo malicioso SWF necesita ser cargado para que un usuario pueda explotar esta vulnerabilidad con éxito.

2. Impacto

   Los usuarios que no cuenten con la actualización correspondientes son vulnerables a ejecución de código arbitrario.

3. Solución

   Adobe recomienda que los usuarios de Flash Player 8.0.24.0 y anteriores versiones sean actualizadas a la nueva versión 9.0.16.0, para poder realizar esta descarga dirigirse al Player Download Center, o usando el mecanismo de auto-update.

4. Referencias

   http://secunia.com/advisories/21865

   http://www.adobe.com/support/security/bulletins/apsb06-11.html

   http://nvd.nist.gov/nvd.cfm-cvename=CVE-2006-4640

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)