(Por El Microsaurio) Actualización urgente de Flash, y para todos los sistemas operativos. Los ataques multiplataforma ya no dejan resquicio; no importa qué equipo estés usando, la única solución es mantenerlo al día. Hacele clic al link y enterate de qué hay que descargar y dónde hacerlo. La macana es que todavía no hay actualizaciones para instalárselas a los usuarios… pero no, no demos ideas…
Otra vez sopa, otra vez Flash. Hace poco más de un mes te comentamos las características de un procedimiento de ataque contra las PC, que aprovechaba una falla de programación en ese software, para ingresar a una máquina que corriera Windows o Mac OS y hacer de las suyas. El 12 de mayo Adobe publicó cuatro parches, que solucionaban fallas de seguridad en RoboHelp, Audition, Flash Media Server y (cómo no) el Flash Player. El 24 del mismo mes tuvieron que hacer modificaciones, en la Nota de Seguridad APSB11-12, ya que las vulnerabilidades afectaban a Flash Player 10.2.15 y anteriores instaladas en equipos con sistemas operativos Windows, Macintosh, Linux y Solaris, Flash Player 10.2.154.28 y anteriores para usuarios de Chrome, y Flash Player 10.2.157.51 y anteriores para Android.
Sí, casi no se salvaba nadie. Un vehículo de ataque conocido, según le habían avisado a Adobe, era una animación hecha con Flash (.swf) metida en un documento Word (.doc) o planilla Excel (.xls) que hubiera llegado por email. Y las víctimas posibles, en los casos detectados, eran usuarios de Windows. Ninguna novedad. Curiosamente, en el boletín de fines de mayo Adobe decía que no había recibido ningún ejemplar de malware para poder analizar.
Hmmm.
La novela continúa ¡cómo no! el domingo pasado (5 de junio) cuando, desde el centro de seguridad de la empresa, se publicó el Security Bulletin APSB11-13, modificado al día siguiente, para agregar un agradecimiento a la gente de Google (los que habían descubierto la falla) y porque habían escrito mal los números de versión al mencionar a Adobe Reader y Acrobat.
Vamos sin más cháchara al análisis del tema:
Productos y sistemas operativos afectados
—-> Flash Player 10.3.181.16 y anteriores, para Windows, Mac Linux y Solaris
—-> Flash Player 10.3.181.16 y anteriores para usuarios de Chrome
—-> Flash Player 10.3.185.22 y anteriores, para Android
Procedimientos de ataque
—->Un usuario visita un website, y allí hay una página con una animación convenientemente “envenenada”; tiene abierto además su correo en otra ventana del navegador, chau, se le metieron en el webmail.
—->Un usuario le hace clic a un link que hay dentro de un email, ese vínculo apunta a una página que contiene una animación convenientemente “envenenada” (odio repetirrrr). Chau usuario, otra vez.
Soluciones
Para los usuarios de máquinas con Windows, MacOS, Linux o Solaris, instalar Flash Player 10.3.181.22; en caso de que alguien esté empleando ActiveX en su compu, corresponde la versión 10.3.181.23. La web de descarga, si no apareció el cartelito correspondiente ofreciendo la actualización, es el Adobe Flash Player Download Center.
¿Y los usuarios de Android? Bien, gracias, por ahora (es un decir) ya que la empresa piensa poner online la actualización correspondiente durante esta semana…
Nota 1: la mención a Reader y a Acrobat está en el boletín, porque están averiguando si hay un componente de actualización en ellos que podría emplearse como vector de ataque (ya ha sucedido antes)
Nota 2: si no fuera tan útil el Flash para los amigos diseñadores gráficos/animadores, no me quejaría, pero… ¿no podrán hacer algo los de Adobe para mejorar el código? Sí, ya sé. Se hace con plata, y hasta ahora, en las grandes corporaciones del software propietario, he observado cuatro conductas: una como Microsoft, que desde el 2002 invierte mucho dinero en eso; otra, como IBM, que (además de tener desde mucho tiempo atrás normas de producción muy estrictas) lo gastó todo junto, comprándose a Rational ¿se acuerdan? Tres: las empresas que emparchan cuando la gente se los quiere comer crudos. No mencionaré. Y cuatro: las que no hacen nada. Tampoco las mencionaré.
Y claro, la otra solución, bastante más simple, está en la comunidad Open Source. Pero eso es otro tema.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291