Nueva (para variar) vulnerabilidad crítica en Adobe Flash Player

Adobe publicó ayer un boletín de seguridad para Adobe Flash Player descrita como una vulnerabilidad crítica. Un 0day, Uno más. Y ya van... hemos perdido la cuenta. Con el identificador CVE-2016-4117 además se confirma que ya se está usando de forma activa, afecta a todas las plataformas como Wndows, Macintosh, Linux, y Chrome OS. La actualización no estará disponible hasta mañana jueves día 12 de mayo. ¿Será el 2016 el final definitivo de Flash Player?

Adobe Flash Player cumple 18 años de edad y según los informes, con más de 1,3 billlones de instalaciones.

El año pasado Flash Player tuvo más de 316 correcciones de errores, lo que da un promedio de 6,1 por semana. Prácticamente una por día.

¿No estás preparado para desinstalar el plugin de Adobe Flash Player? Prueba con la opción de Click para Activar (Click-to-Play) o Activar bajo demanda.

Mientras no aparece la nueva versión, recomendados una vez más activar el click-to-play (click-para-activar) para ejecutar de forma más segura Adobe Flash Player en tu navegador.

• Activar Adobe Flash (click-to-play)
• Usar EMET de Microsoft para Windows
• HardenFlash

 Another day, another Flash exploit. 

Parece ser vulnerabilidad de ejecución remota de código (RCE), pero no han sido compartidos más detalles excepto que fue descubierto por Genwei Jiang de  FireEye. Jiang también descubrió otro 0day en Flash el mes pasado, que fue utilizado para infectar con el ransomware Locky y Cerber  usando el Magnitude exploit kit.


Comprueba la versión de Flash Player que utilizas:

• http://www.adobe.com/es/software/flash/about/
• https://www.adobe.com/swf/software/flash/about/flashAbout_info_small.swf 
• https://helpx.adobe.com/flash-player.html

Según Adobe, una nueva vulnerabilidad de día cero en el software Flash Player está siendo explotado en ataques cibernéticos y de nuevo lo preocupante es que no va a ser parcheado hasta el 12 de mayo.

Adobe considera crítica la vulnerabilidad descubierta por el experto en seguridad Genwei Jiang de FireEye, que también confirmó que está siendo utilizado en ataques dirigidos.

El Equipo de Respuesta a Incidentes de Seguridad de los productos de Adobe también informó de la disponibilidad de un parche para tres defectos (CVE-2016-1113, CVE-2016-1114, CVE-2016-1115) en la plataforma de servidor de aplicaciones ColdFusion.

La compañía también emitió versiones de las líneas de productos Adobe Acrobat y Adobe Reader.

Asesor de seguridad de Adobe

Recomendación de seguridad para Adobe Flash Player

Fecha de lanzamiento: 10-may el año 2016

Identificador de vulnerabilidad: APSA16-02

Número CVE: CVE-2016-4117

Plataformas afectadas : Windows, Macintosh, Linux y Chrome OS

Resumen

Existe una vulnerabilidad crítica  (CVE-2016-4117) en Adobe Flash Player 21.0.0.226 y versiones anteriores para Windows, Macintosh, Linux y Chrome OS. Una explotación exitosa podría causar un accidente y potencialmente permitir a un atacante tomar el control del sistema afectado.

Adobe tiene conocimiento de un informe que existe un exploit para CVE-2016-4117. Adobe abordará esta vulnerabilidad en nuestra actualización mensual de seguridad, que estará disponible ya en mayo de 12. Para obtener la información más reciente, los usuarios pueden controlar el blog de productos de Adobe a Incidentes de Seguridad Equipo de Respuesta.

Las clasificaciones de gravedad: Adobe lo define como una vulnerabilidad crítica.

Adobe desea dar las gracias a Jiang Genwei de FireEye, Inc., por informar CVE-2016-4117 y su colaboración con Adobe para ayudarnos a proteger a nuestros clientes.