1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2010-015 Vulnerabilidades en Adobe Flash y AIR

De acuerdo con el boletín de seguridad de Adobe APSB10-14, existen vulnerabilidades en Adobe Flash y Adobe AIR. Estas vulnerabilidades afectan a Flash Player, Adobe AIR, y posiblemente otros productos con soporte para Flash. Un atacante remoto podría explotar estas vulnerabilidades para ejecutar código arbitrario.

  • Fecha de Liberación: 16-Jun-2010
  • Ultima Revisión: 16-Jun-2010
  • Fuente: US-CERT
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código
  1. Sistemas Afectados

    • Adobe Flash Player 10.0.45.2 and earlier 10.x versions
    • Adobe Flash Player 9.0.262 and earlier 9.x versions
    • Adobe AIR 1.5.3.9130 and earlier versions

    Otros productos de Adobe que soporten el uso de Flash también pueden ser vulnerables.

  2. Descripción

    El boletín de seguridad de Adobe APSB10-14 describe vulnerabilidades en Adobe Flash que afectan a Flash Player y a Adobe AIR. También pueden afectar otros productos con soporte independiente para Flash, como Adobe Reader, Acrobat, Photoshop, Photoshop Lightroom, Freehand MX, y Fireworks.

    Un atacante podría explotar estas vulnerabilidades al convencer a un usuario de abrir un documento con contenido Flash especialmente modificado. El contenido Flash es común en las páginas web, pero también puede estar incrustado en un archivo PDF y otros documentos, o encontrarse como un archivo independiente.

    Una de estas vulnerabilidades, CVE-2010-1297, está siendo explotada para Flash Player, Adobe Reader y Acrobat. Puede encontrarse Información adicional acerca de la vulnerabilidad CVE-2010-1297 en la Alerta Técnica TA10-159A del US-CERT y la nota de vulnerabilidad VU#486225.

  3. Impacto

    Si un usuario abre el contenido Flash especialmente modificado, un atacante remoto podría ejecutar código arbitrario.

  4. Solución

    Actualizar Flash y AIR

    El boletín de seguridad de Adobe APSB10-14 recomienda actualizar a Flash Player 10.1.53.64 o 9.0.277.0 y actualizar AIR a la versión 2.0.2.12610. Esto actualizará el plugin de Flash para los exploradores web y los controles de ActiveX, así como AIR, pero no actualizará el soporte de Flash en Adobe Reader, Acrobat u otros productos.

    Para reducir la exposición a estas y otras vulnerabilidades de Flash, se debe tomar en consideración la siguiente técnica de mitigación.

    Deshabilitar Flash en el navegador web

    Desinstalar Flash o restringir qué sitios tienen permitido ejecutar Flash. En la medidad de lo posible, ejecutar sólo contenido Flash confiable en dominios confiables. Para más información, ver "Securing Your Web Browser"

  5. Referencias

    * Adobe Security Bulletin APSB10-14

    * Technical Cyber Security Alert TA10-159A

    * US-CERT Vulnerability Report VU#486225

    * Securing Your Web Browser

    * CVE-2010-1297

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • David Jiménez Domínguez (djimenez at correo dot seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT