Adobe corrige una vulnerabilidad 0-day de Flash Player
- Vulnerabilidades
La compañía ha publicado la versión 30.0.0.113 de Flash Player destinada a solucionar un total de cuatro vulnerabilidades, una de las cuales ya estaba siendo explotada. Se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Adobe ha publicado un boletín de seguridad que corrige cuatro vulnerabilidades en su reproductor Flash Player. Dos de estas vulnerabilidades son de carácter crítico, una de ellas un '0-day', y las dos restantes están clasificadas como importantes. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y Edge.
Según sus identificadores CVE, los errores de seguridad son los siguientes:
--CVE-2018-4945: un error de confusión de tipos que podría permitir la ejecución de código arbitrario en el contexto del usuario.
--CVE-2018-5000: un desbordamiento de enteros que permitiría la revelación de información.
--CVE-2018-5001: una lectura fuera de límites que también permitiría revelar información.
--CVE-2018-5002: un desbordamiento de memoria que permitiría ejecutar código arbitrario.
Esta última vulnerabilidad 0-day está siendo explotada, y se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de Office con contenido incrustado malicioso de Flash Player distribuido por correo electrónico, con nombres como '***salary.xlsx' para llamar la atención del usuario.
Adobe ha publicado la versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las vulnerabilidades anteriormente expuestas, y recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a través del sistema de actualización del propio producto o desde 'Adobe Flash Player Download Center'.