SEGURIDAD

Flash Player 9.0.124.0 corrige una grave vulnerabilidad

Adobe Flash Player es propenso a una vulnerabilidad de desbordamiento de búfer que puede ser explotada de forma remota. Un atacante puede sacar provecho de este problema para ejecutar un código malicioso en el equipo del usuario.

VS ANTIVIRUS


Para que la explotación sea exitosa, el usuario debe tener instalada en su PC cualquier versión de Adobe Flash Player anterior a la 9.0.124.0. El ataque puede producirse por la simple visita a un sitio web que contenga un archivo flash malicioso.
Si la ejecución de código falla, de todos modos podría provocarse una condición de denegación de servicio (DoS), dejando de responder el programa asociado (por ejemplo Internet Explorer), o incluso Windows.
Se ha publicado información detallada sobre la técnica requerida para explotar esta vulnerabilidad, además de una prueba de concepto. No hay reportes claros de malwares que se aprovechen del problema, pero ante la posibilidad de que ello ocurra, se aconseja la inmediata actualización a la versión de Flash Player más reciente (al momento de este artículo, la 9.0.124.0).
Adobe Flash Player es un reproductor multimedia de archivos SWF (películas en Flash), FLV (Flash Video) y otros. Este tipo de archivos, incluye audio, video y metadatos, incluidos scripts.
Productos vulnerables:
- Adobe Flash Player 8.0.34.0
- Adobe Flash Player 8.0.35.0
- Adobe Flash Player 9
- Adobe Flash Player 9.0.28.0
- Adobe Flash Player 9.0.31.0
- Adobe Flash Player 9.0.45.0
- Adobe Flash Player 9.0.47.0
- Adobe Flash Player 9.0.48.0
- Adobe Flash Player 9.0.115.0
- RedHat Enterprise Linux Desktop Supplementary 5 client
- RedHat Enterprise Linux Extras 3
- RedHat Enterprise Linux Extras 4
- RedHat Enterprise Linux Supplementary 5 server
- S.u.S.E. Linux 10.1 ppc
- S.u.S.E. Linux 10.1 x86
- S.u.S.E. Linux 10.1 x86-64
- S.u.S.E. Novell Linux Desktop 9
- S.u.S.E. openSUSE 10.2
- S.u.S.E. openSUSE 10.3
- S.u.S.E. SUSE Linux Enterprise Desktop 10 SP1
Producto NO vulnerable:
- Adobe Flash Player 9.0.124.0


Oracle publica hoy varios parches para resolver 41 problemas de seguridad

Oracle ha anunciado que en su ciclo habitual trimestral de publicación de parches, este martes 15 de abril se corregirán 41 problemas de seguridad en sus productos.

HISPASEC.COM

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán 41 problemas de seguridad en total. 17 de estos parches estarán destinados a corregir fallos en Oracle Database, producto "estrella" de la compañía. 3 para Oracle Application Server, 11 para Oracle E-Business Suite, 1 para Oracle Enterprise Manager, 3 para Oracle PeopleSoft Enterprise y 6 para Oracle Siebel SimBuilder.
De estos fallos mencionados, dos de los 17 para la base de datos son especialmente graves, pues no necesitarán autenticación para ser aprovechados de forma remota.
A pesar de ser un número abultado, 41 parches de seguridad en Oracle se ajustan a la media habitual del número de problemas a los que se enfrenta Oracle habitualmente de forma trimestral. Por citar varios ejemplos, en enero de 2008 se publicaron 26, en octubre pasado fueron 51, aunque el "record" data de octubre de 2006 cuando se publicaron más de 100 fallos.
Desde enero de 2007 Oracle anuncia con antelación algunos detalles de lo que publicará el día de parcheo. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones.