Adobe parchea los errores de flash, los atacantes apuntaban a los usuarios de Firefox

Adobe parchó tres nuevas fallas de seguridad en su Flash Player casi ubicuo, de las cuales dos ya estaban siendo explotadas en la naturaleza. Los atacantes apuntaban específicamente a los usuarios de Mozilla Firefox, dijo la compañía.

Las dos vulnerabilidades de día cero, CVE 2013-0643 y CVE 2013-0648, estaban siendo explotadas en ataques dirigidos donde los usuarios fueron engañados para hacer clic en un enlace a un sitio web que albergaba archivos Flash maliciosos, dijo Adobe en su aviso de seguridad publicado el martes. La compañía no acreditó a ninguna organización o investigador que descubriera las vulnerabilidades de día cero, pero acreditó a IBM X-force por informar el tercer agujero de seguridad.

Los ingenieros de seguridad de Adobe en la Conferencia RSA también se negaron a proporcionar información adicional.

"El exploit para Cve 2013-0643 y CVE 2013-0648 está diseñado para apuntar al navegador Firefox", dijo Adobe en el aviso.

Los atacantes podrían desencadenar las vulnerabilidades para hacer que Flash Player se bloquee y obtener el control remoto de la computadora, dijo Adobe. Los errores de día cero están relacionados con un problema de permisos con el sandbox de Flash Player Firefox y una falla en la función de ActionScript de interfaz externa, que puede explotarse para ejecutar código malicioso. El tercer error, que aún no se está explotando, era una vulnerabilidad de desbordamiento de búfer en un servicio de agente de Flash Player, y podría usarse para ejecutar código malicioso, dijo Adobe.

La actualización afecta a todas las versiones de Flash en Windows, Mac OS X y Linux. Los usuarios pueden descargar la última versión del sitio web de Adobe, o activar actualizaciones en segundo plano y dejar que el software tome la versión automáticamente. Google y Microsoft actualizarán Flash en Chrome e Internet Explorer 10 (para Windows 8) por separado.

Esta actualización de Flash es el segundo parche fuera de banda para Flash Player este mes, el tercer parche de Adobe en el mes de febrero y el cuarto parche lanzado en 2013 hasta el momento.

Ha pasado casi un año desde que Adobe activó las actualizaciones automáticas para Flash y Reader, y la tasa de actualización ha sido tremenda, dijo Brad Arkin, director senior de seguridad y privacidad de Adobe, a SecurityWatch en la Conferencia RSA. El modelo anterior, en el que se pedía a los usuarios que descargaran las últimas actualizaciones, no era suficiente para que los usuarios pudieran parchear Flash Player, dijo Arkin. Con el cambio a las actualizaciones de fondo, la tasa de éxito ha sido significativa.

Para ver todas las publicaciones de nuestra cobertura RSA, consulte nuestra página Mostrar informes.