adobe-logoAlerta roja

El US-CERT (United States Computer Emergency Readiness Team), ha advertido que existe un agujero de seguridad en Adobe Shockwave Player. La versión 11.6.8.638 y versiones anteriores que se instalaron con un instalador “Completo” de la empresa se ven afectadas. Todas ellas incluyen una versión anterior de Flash (10.2.159.1) que contiene varias vulnerabilidades explotables.

Shockwave a nivel mundial utiliza un Flash personalizado en tiempo de ejecución en lugar de un plugin Flash instalado. Según el US-CERT, las vulnerabilidades Flash pueden ser aprovechadas para ejecutar código arbitrario con el nivel de privilegios del usuario a través del contenido de Shockwave especialmente diseñado.

Como el Shockwave Player suele utilizarse sólo en raras ocasiones, con simplemente desinstalar el software ya puede proporcionar protección. Adobe está ofreciendo incluso un desinstalador para este propósito. Alternativamente, se puede establecerse un killbit (bit de interrupción) para más protección. El bit de interrupción impide que el control ActiveX de Shockwave se ejecute en el navegador web Internet Explorer. El US-CERT ha dado instrucciones para la solución – incluyendo el necesario CLSID para el bit de interrupción – a su ADVERTENCIA.

Traducción: Velcro

Fuente: The H Security Blog