Adobe puede llevar a su fin a Flash Player a finales de 2020, pero hasta entonces, la compañía no dejaría de proporcionar actualizaciones de seguridad al software.
Como parte de sus actualizaciones mensuales de seguridad, Adobe ha lanzado parches para ocho (8) vulnerabilidades de seguridad en sus tres (3) productos, incluyendo dos (2) vulnerabilidades en Flash Player, cuatro (4) en ColdFusion y dos (2) en RoboHelp, cinco (5) de ellas son críticas.
Ambas vulnerabilidades de Adobe Flash Player pueden explotarse para la ejecución remota de código en el dispositivo afectado y ambas han sido clasificadas como alta criticidad.
Las fallas críticas de Flash Player se rastrean como CVE-2017-11281 y CVE-2017-11282 y fueron descubiertos por Mateusz Jurczyk y Natalie Silvanovich de Google Project Zero, respectivamente.
Ambas vulnerabilidades de seguridad son problemas de corrupción de memoria que podrían conducir a la ejecución remota de código y afectar a todos los principales sistemas operativos, incluyendo Windows, Macintosh, Linux y Chrome OS.
Las vulnerabilidades se han corregido en la última versión de Flash Player 27.0.0.130.
Las otras tres fallas críticas y una importante residen en Cold Fusion, que incluye un error crítico de análisis XML (CVE-2017-11286), un importante error XSS (cross-site scripting) (CVE-2017-11285) que podría conducir a la divulgación de información y la mitigación para la deserialización Java insegura, lo que resulta en la ejecución remota de código (CVE-2017-11283, CVE-2017-11284).
Estas vulnerabilidades afectan a todas las plataformas y han sido descubiertas y reportadas por Nick Bloor del Grupo NCC, Daniel Sayk de Telekom Security y Daniel Lawson de Depth Security.
Los problemas se han corregido en la última versión de Adobe ColdFusion versión 2016 Actualización 5 y versión 11 Actualización 13.
El resto de los dos defectos o errores, uno importante (CVE-2017-3104) y uno moderado (CVE-2017-3105) – afecta la versión de Windows de la herramienta de creación de ayuda de Adobe RoboHelp.
El defecto importante es una falla de validación de entrada que podría permitir un ataque basado en DOM en sitios cruzados (XSS), mientras que la vulnerabilidad de redirección de URL de invalidez moderada podría utilizarse en campañas de phishing para entregar malware.
Las vulnerabilidades se han corregido en la última versión de Adobe RoboHelp RH2017.0.2 y RH12.0.4.460 (Hotfix).
Aunque no se han descubierto exploits para estas vulnerabilidades, recomendamos a los usuarios que apliquen las respectivas remediaciones y actualizaciones en su software lo antes posible para protegerse de cualquier ataque remoto.
ADV Integradores y Consultores, Partner certificado de ADOBE, tiene el compromiso de notificar estos comunicados para ayudarles a mitigar las brechas de seguridad que pudieran afectar su red corporativa.
Luis Mendoza Sales Manager ADV Integradores y consultores SA de CV luisfabian.mendoza@adv-ic.com | www.adv-ic.com | @adv_ic | LinkedIn: ADV Integradores y consultores | Facebook: ADV Integradores y consultores
Blog Ciberseguridad ADV integradores y consultores 