Adobe advierte sobre una vulnerabilidad crítica en su aplicación Flash Player para usuarios de sistemas operativos Windows, macOS, Linux y ChromeOS.
La vulnerabilidad es la única falla lanzada este mes como parte de los parches programados regularmente de Adobe (marcadamente menos que las 18 fallas abordadas durante sus correcciones programadas regularmente de septiembre ). Sin embargo, es un error crítico ( CVE-2020-9746 ) y, si se explota con éxito, podría provocar un bloqueo explotable, lo que podría resultar en la ejecución de código arbitrario en el contexto del usuario actual, según Adobe.
«Como suele ser el caso de las vulnerabilidades de Flash Player, la explotación basada en la web es el principal vector de explotación, pero no el único», según Nick Colyer, director senior de marketing de productos de Automox, en un correo electrónico. «Estas vulnerabilidades también pueden explotarse a través de un control ActiveX integrado [ una característica del Protocolo de escritorio remoto ] en un documento de Microsoft Office o cualquier aplicación que utilice el motor de renderizado de Internet Explorer».
El problema se debe a un error de desreferencia de puntero NULL. Este tipo de problema ocurre cuando un programa intenta leer o escribir en la memoria con un puntero NULL. La ejecución de un programa que contiene una desreferencia de puntero NULL genera un error de falla de segmentación inmediato.
Se ven afectadas las versiones 32.0.0.433 y anteriores de Adobe Flash Desktop Runtime (para Windows, macOS y Linux); Adobe Flash Player para Google Chrome (Windows, macOS, Linux y Chrome OS) y Adobe Flash Player para Microsoft Edge e Internet Explorer 11 (Windows 10 y 8.1).
Hay un parche disponible en la versión 32.0.0.445 en todas las plataformas afectadas (ver más abajo). Adobe clasifica el parche como una «prioridad 2», lo que significa que «resuelve vulnerabilidades en un producto que históricamente ha estado en riesgo elevado»; sin embargo, actualmente no hay exploits conocidos.
Actualizaciones de fallas de Adobe Flash Player.
Se sabe que Flash es un objetivo favorito de los ciberataques, en particular para los kits de explotación, los ataques de día cero y los esquemas de phishing. Es de destacar que Adobe anunció en julio de 2017 que planea llevar Flash al final de su vida útil, lo que significa que ya no actualizará ni distribuirá Flash Player a fines de este año. En junio, con la fecha de eliminación de Flash Player del 31 de diciembre acercándose rápidamente, Adobe dijo que comenzará a instar a los usuarios a desinstalar el software en los próximos meses.
Flash Player ha causado dolores de cabeza a los administradores de sistemas durante el año pasado, y Adobe advirtió sobre problemas críticos que podrían permitir la ejecución de código arbitrario en febrero y junio.
Adobe recomienda que los usuarios actualicen las instalaciones de sus productos a las últimas versiones siguiendo las instrucciones a las que se hace referencia en el boletín. Como práctica recomendada de seguridad, siempre se recomienda encarecidamente la remediación de los vectores de amenazas recurrentes o comúnmente explotables, dijo Colyer.
“Para las organizaciones que no pueden eliminar Adobe Flash debido a una función crítica para el negocio, se recomienda mitigar el potencial de amenaza de estas vulnerabilidades evitando que Adobe Flash Player se ejecute por completo a través de la función killbit, establezca una política de grupo para desactivar la creación de instancias de Flash objetos, o limitar la configuración del centro de confianza que solicita elementos de secuencias de comandos activos ”, dijo Colyer.