Vulnerabilidades y Actualizaciones de Adobe Shockwave y Flash Player

By /

La Importancia de Mantener el Software Actualizado

Esta página contiene información importante sobre vulnerabilidades de seguridad que pueden afectar a versiones concretas de productos Adobe. Si bien hasta este momento no se ha reportado la aparición de exploits de estos fallos de seguridad, siempre es importante mantener nuestro software actualizado.

Ilustración de un candado digital y escudos de seguridad

Adobe Shockwave Player: Vulnerabilidades y Soluciones

Descripción de Shockwave Player

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash.

En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran. En el caso de Shockwave, ya casi no se usa, pero muchas personas todavía lo tienen acechando en sus computadoras.

Esquema comparativo de Shockwave Player y Flash Player

Vulnerabilidades Críticas y Actualizaciones Tempranas

Hace dos años, el US-CERT alertó sobre tres graves vulnerabilidades en Adobe Shockwave que permitían la ejecución de código en el sistema con solo visitar una página web. Aunque Adobe había sido alertada sobre el problema en octubre de 2010, los problemas no quedarían solucionados hasta febrero de 2013.

El US-CERT ha revisado su anterior aviso, y lamentablemente ha comprobado que la última versión de Shockwave Player 12.1.1.151 incluye la versión 11.5.502.146 de Flash, que fue publicada el 8 de enero de 2013. Esta versión de Flash contiene múltiples vulnerabilidades explotables; Brian Krebs contabiliza más de 20 actualizaciones de seguridad publicadas incluyendo numerosos 0-day.

El problema es grave y parece especialmente sorprendente, mucho más al tratarse de dos productos de la misma compañía. Además, la versión incluida ya no está soportada, y la propia firma en sus últimas actualizaciones de Flash recomienda a todos los usuarios de la rama 11.7 de Flash, actualizar a la versión 13.

Actualizaciones Recientes y Fallos de Seguridad (Ej. 2017)

Una nueva actualización tuvo como única finalidad mejorar la seguridad al solucionar múltiples vulnerabilidades críticas que afectaban a todas las versiones de Shockwave, tanto para Windows como para Mac OS X. «Esta actualización corrige vulnerabilidades críticas en Adobe Shockwave Player 11.6.3.633 y versiones anteriores para sistemas operativos Windows y Macintosh. Estas vulnerabilidades pueden permitir a un atacante, una vez que las explote de manera exitosa, ejecutar código malicioso en los sistemas afectados.»

De acuerdo con el boletín de seguridad publicado por la compañía, se han cerrado en total nueve vulnerabilidades, la mayoría de ellas relacionadas con errores de corrupción de memoria.

Por otra parte, Adobe ha publicado un nuevo boletín de seguridad (APSB17-08) para solucionar una vulnerabilidad importante en Shockwave Player. En esta ocasión la vulnerabilidad (con CVE-2017-2983) está relacionada con un problema en la ruta de búsqueda de directorios empleada para encontrar recursos que podría permitir una escalada de privilegios. El problema afecta las versiones de Adobe Shockwave Player 12.2.7.197, Shockwave Player 12.2.8.198 y anteriores para plataformas Windows.

Recomendaciones para Usuarios de Shockwave

La nueva versión de Shockwave Player está disponible para descargar desde la página oficial de este plugin. Actualiza, actualiza y actualiza.

En caso de necesitar Shockwave por alguna razón, se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit), que podrá evitar muchas de las técnicas empleadas por los exploits más habituales. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje inglés) sencillo de manejar y de gran utilidad.

Adobe Flash Player: Amenazas Constantes y Medidas de Seguridad

El Alcance de Flash Player

Quizás eres uno de los muchos millones de personas que usan Adobe Flash en su computadora. Ten en cuenta que Flash también está integrado en Adobe AIR y Shockwave, y por lo tanto ambos pueden ser vulnerables a ataques.

Ataques Dirigidos y Vulnerabilidades Críticas (Ej. 2015)

Muchos usuarios pensaban que su computadora estaba a salvo de atacantes que pudieran explotar fallas en Flash por un tiempo, ya que estaban utilizando la última versión (19.0.0.207) del producto. Sin embargo, una vulnerabilidad crítica (CVE-2015-7645) ha sido identificada en Adobe Flash Player 19.0.0.207 y versiones anteriores para Windows, Macintosh y Linux.

Adobe tiene conocimiento de un reporte de que un exploit para esta vulnerabilidad está siendo usado en ataques limitados y dirigidos. "Militares de EE.UU. Claramente, el grupo Pawn Storm tiene a blancos particulares en la mira, y está enfocado en espiar y robar información de sistemas gubernamentales y militares comprometidos. Esto resultó en que muchas personas creyeran que Operation Pawn Storm es un ejemplo de cibercrimen apoyado por el Estado."

Desafortunadamente para los usuarios de computadoras, la vulnerabilidad está presente en la última versión de Adobe Flash Player, 19.0.0.207, así como en las anteriores para Windows y Macintosh, independientemente de si el usuario trabaja para un gobierno, la milicia, una organización de medios o es un activista político.

Mapa de ciberataques dirigidos

Boletines de Seguridad y Problemas Técnicos (Ej. 2017)

Como es habitual todos los meses, se ha publicado el aviso dedicado a Adobe Flash Player. En una ocasión, el boletín APSB17-07 solucionó siete vulnerabilidades. Los problemas incluían dos vulnerabilidades de corrupción de memoria, un desbordamiento de búfer y tres por uso de memoria después de liberarla que podrían permitir la ejecución de código; y un fallo en el generador de números aleatorios que podría permitir la obtención de información. Igualmente, se publicó la versión 25.0.0.127 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

En otro boletín mensual habitual, el APSB17-17, se destinó a solucionar nueve vulnerabilidades en Adobe Flash Player. Los problemas que se corrigieron en este boletín podrían permitir la ejecución remota de código arbitrario aprovechando cuatro vulnerabilidades de uso de memoria después de liberarla y cinco de corrupción de memoria.

¿Qué es la Gestión de Vulnerabilidades? ¡AntiFraude te lo explica!

Estrategias de Defensa para Flash Player

Una medida que podrías tomar es considerar desinstalar por completo Flash de tu computadora. Con esta función habilitada, tu navegador no reproducirá contenido Flash potencialmente malicioso a menos que y hasta que le des permiso específico.

La Cronología de la Corrección de Vulnerabilidades

El retraso en la publicación de actualizaciones de seguridad es más frecuente de lo que cabría desear. En un estudio que se realizó hace un tiempo, se concluía que, mientras la vulnerabilidad permaneciese en secreto, los grandes fabricantes podían pasar hasta seis meses de media sin arreglarla.

tags: #shockwave #flash #esta #considerado #vulnerable #y

Publicaciones populares:

  • Reestructuración institucional en Chile
  • Descubre los requisitos esenciales para la pensión de viudedad.
  • Curación de Heridas en Casa
  • Descubre el propósito de las residencias para mayores
  • Instalación de alcantarillado en baños adaptados