El pasado día 10, Adobe publicó una nueva versión de Flash Player que corrige 32 fallos de seguridad. Entre ellos, un problema conocido y público, que permite la ejecución de código arbitrario y que también contiene Adobe Reader 9.x. Sin embargo, para este programa no ha solucionado aún el fallo.
La versión corregida por Adobe es la 10.0.45.2, y la nueva que los soluciona, la 10.1.53.64. Para comprobar la versión que se tiene instalada, se puede visitar la página http://www.adobe.com/software/flash/about/. Es importante recordar que si se dispone de varios navegadores en el sistema, hay que actualizar Flash para todos ellos por separado desde http://www.adobe.com/go/getflash.
Como cabe esperar, entre las 32 vulnerabilidades se encuentran problemas de todo tipo, desde ejecución de código hasta denegaciones de servicio.
Adobe no iba a publicar ninguna actualización hasta el 13 de julio, pero, dada la gravedad de uno de los fallos, se ha visto obligada a adelantar esta nueva versión. En concreto, se trata de CVE-2010-1297, que permite la ejecución de código y que ha sido incluido en Metasploit.
Adobe Reader es también vulnerable, pero el fabricante ha decidido en este caso que, aunque no esperará al 13 de julio para solucionar el problema, no tendrá listo el parche hasta el 29 de junio.
Laboratorio Hispasec
laboratorio@hispasec.com
FUENTE :http://www.hispasec.com/unaaldia/4249