Convenciendo a un usuario para que visite una página web o abra un archivo que contiene el contenido Flash especialmente diseñado, un atacante podría combinar cualquiera de las tres vulnerabilidades de Adobe Flash con la vulnerabilidad de Microsoft Windows para tomar el control completo de un sistema afectado.

Un vector de ataque común para explotar una vulnerabilidad de Flash es para atraer a un usuario para cargar el contenido de Flash en un navegador web, y la mayoría de los navegadores web tienen  Flash instalado  y habilitado. Un segundo vector de ataque en busca de vulnerabilidades de Flash es a través de un archivo (como un archivo adjunto de correo electrónico) que incorpora el contenido de Flash.

Otra técnica aprovecha Object Linking and Embedding (OLE) capacidades en documentos de Microsoft Office para descargar automáticamente el contenido de Flash desde un servidor remoto.

Un atacante que es capaz de ejecutar código arbitrario a través de la vulnerabilidad de Flash aprovechara la vulnerabilidad de Adobe Type Manager para obtener privilegios de sistema elevados. La vulnerabilidad de Adobe Type Manager permite al atacante defensas sandbox de derivación (como las que se encuentran en Adobe Reader y Google Chrome) y protecciones bajo integridad (como el modo protegido de Internet Explorer y la Vista protegida para Microsoft Office).

Posibles soluciones:

• Actualizar Adobe Flash
• Limitar Adobe Flash (click-to-play)
• Usar EMET de Microsoft para Windows
• HardenFlash

Ayuda a los que tienen menos conocimientos técnicos a entender y desinstalar Flash Player

Todos tenemos padres, abuelos, amigos que no tienen conocimientos técnicos y que usan equipos obsoletos. Muchos de ellos ni siquiera saben qué es Flash. Explícales el problema. Hazles saber que si hacen esto algunas páginas quizá dejen de funcionarles, pero que es mejor así. Y si están dispuestos a hacer el sacrificio, ayúdalos a desinstalar Flash y a actualizar sus equipos - probablemente no lo sepan hacer por su cuenta.

¿Instalar el plugin de Flash para visualizar videos, animaciones y juegos?

Adobe Flash Player es un plugin que permite a los navegadores como Firefox mostrar contenido Flash en páginas web. Flash se usa a menudo para las animaciones, videos y juegos.

Cuando visitas una página que utiliza Flash y no tienes el plugin activado, te aparecerá el mensaje "Se requiere un plugin para mostrar el contenido":

Mantener Flash actualizado

La versión más reciente del plugin de Flash deberá rendir mejor y colgarse con menos frecuencia. Si quieres comprobar si Flash está actualizado, visita la página Plugin Check de Mozilla. Si dice que Flash tiene que actualizarse, instala la última versión manualmente siguiendo los pasos de la sección anterior.

• https://support.mozilla.org/es/kb/instalar-el-plugin-de-flash-para-visualizar-videos

¿Cuándo debería activar un plugin en vez de actualizarlo?

Actualizar un plugin es siempre la opción más segura. Sin embargo, a veces es imposible. Por ejemplo, quizás no tengas permitido actualizar un equipo en un colegio o en tu lugar de trabajo. En casos como este, puedes actuar de una forma u otra dependiendo de la situación en la que te encuentres:

• Si la página es segura, como YouTube o una página propia de tu colegio o lugar de trabajo, quizá puedas plantearte instalar el plugin en cuestión para poder ver el contenido de la página web.
• Si no confias en la página a la que has llegado, por ejemplo, siguiendo un enlace, quizás no quieras activar el plugin.  

Haz clic en el botón Menú y elige Complementos. Se abrirá la pestaña del Administrador de Complementos.

En la pestaña del Administrador de Complementos, selecciona el panel Plugins.

Busca Shockwave Flash en tu lista. Establécelo a Preguntar para activar. 

Puedes por ejemplo permitir activar el plugin de Adobe Flash Player en una página web concreta:

Para activar el click par activar (preguntar antes de nada)

Escribir en la barra del navegador:

• chrome://plugins/
• Desmarcar "Siempre permitido para ejecutarse" del complemento Adobe Flash Player

Otra manera de hacerlo:

• Información de Google Chrome
• chrome://settings/ en la barra del navegador
• Configuración -- Mostrar Opciones Avanzadas..
• Privacidad
• Configuración de Contenido
• Complementos
• Permitirme decidir cuándo ejecutar un complemento

El formato debe ser el siguiente:

• [*.]youtube.com

Activar con un click en el Navegador Internet Explorer

• Configuración --> Administrar Complementos
• Seleccionar Shockwave Flash Object, botón derecho "Más información"
• Click en "Quitar todos los sitios"

• https://helpx.adobe.com/es/flash-player/kb/uninstall-flash-player-windows.html