Nuevo 0-day en Flash Player, o el cuento de nunca acabar
Identificada como CVE-2018-4878 y catalogada como crítica, la vulnerabilidad se basa en un fallo ‘use-after-free‘ que puede dar lugar a la ejecución de código arbitrario de forma remota. Entre los sistemas afectados se encuentran todas las versiones de Flash Player hasta la 28.0.0.137 (esta incluida) en las versiones para navegadores Chrome, Internet Explorer y Edge. También están afectadas las versiones de escritorio para Windows, Macintosh, Linux y ChromeOS.
Adobe, según anuncia en su propio boletín, no publicara parches para solucionar esta vulnerabilidad hasta algún momento indeterminado de la semana próxima, a pesar de que reconoce saber que está siendo explotada.
A este respecto, el vector utilizado está siendo documentos de Microsoft Office que embeben contenido Flash malicioso. Por tanto, el ataque en cuestión tiene como objetivo a usuarios de Microsoft Windows. Aunque las fuentes oficiales no se han pronunciado, algunos investigadores apuntan a que puede estar relacionado con prácticas de espionaje de Corea del Norte desde al menos mediados de noviembre.
Mientras Adobe no publica una nueva versión que solucione la vulnerabilidad, las contramedidas ofrecidas pasan por configurar Flash Player para que pida autorización para ejecutar ficheros Flash o activar la vista protegida de Microsoft Office, que abrirá los ficheros potencialmente inseguros en modo de solo lectura.
Adobe Flash Player New Vulnerability Advisory Recommendation:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
Security Advisory for Flash Player | APSA18-01:
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html
Powered by WPeMatico