La compañia Adobe ha publicado actualizaciones de seguridad para Flash Player para los sistemas operativos Windows, Macintosh, Linux y Chrome OS. Estas actualizaciones abordan vulnerabilidades críticas que podrían llevar a la ejecución remota de código en Adobe Flash Player 28.0.0.0.137 y versiones anteriores.  La explotación exitosa podría potencialmente permitir a un atacante tomar el control del sistema afectado.

Adobe está al tanto de un informe según el cual existe una explotación “in the wild“( léase: activa en el mundo real) para la vulnerabilidad CVE-2018-4878, la cual se está utilizando en ataques limitados y dirigidos contra usuarios de Windows.  Estos ataques aprovechan los documentos de Office con contenido Flash malicioso incrustado distribuido por correo electrónico.

Versiones del producto afectadas

Adobe Flash Player Desktop Runtime versión 28.0.0.0.137 y anteriores para Windows y Macintosh

Adobe Flash Player para Google Chrome versión 28.0.0.0.137 y anteriores para Windows, Macintosh, Linux y Chrome OS

Adobe Flash Player para Microsoft Edge y Internet Explorer 11 versión 28.0.0.0.137 y anteriores para Windows 10 y 8.1

Adobe Flash Player Desktop Runtime versión 28.0.0.0.137 y anteriores para Linux

Para verificar la versión de Adobe Flash Player instalada en su sistema, acceda a la página About Flash Player (Acerca de Flash Player) o haga clic con el botón derecho del ratón en el contenido de Flash Player y seleccione “Acerca de Adobe (o Macromedia) Flash Player” en el menú. Si utiliza varios navegadores, realice la comprobación para cada navegador que haya instalado en el sistema.

Solución

Adobe clasifica estas actualizaciones con las siguientes clasificaciones de prioridad y recomienda a los usuarios que actualicen su instalación a la última versión:

Adobe Flash Player Desktop Runtime versión 28.0.0.0.161 y anteriores para Windows y Macintosh desde el enlace a Flash Player Download Center

Adobe Flash Player para Google Chrome versión 28.0.0.0.161 y anteriores para Windows, Macintosh, Linux y Chrome OS desde el enlace a Google Chrome Releases

Adobe Flash Player para Microsoft Edge y Internet Explorer 11 versión 28.0.0.0.161 y anteriores para Windows 10 y 8.1 desde el enlace a Microsoft Security Advisory

Adobe Flash Player Desktop Runtime versión 28.0.0.0.161 y anteriores para Linux desde el enlace a Flash Player Download Center

Los usuarios que hayan seleccionado la opción ” ‘Allow Adobe to install updates” (Permitir que Adobe instale actualizaciones), recibirán la actualización automáticamente. Los usuarios que no tengan habilitada la opción “Permitir a Adobe instalar actualizaciones” pueden instalar la actualización mediante el mecanismo de actualización del producto cuando se les solicite o yendo a la pagina de descargas de Flash Player Download Center

A todos los usuarios se les recomienda por la gravedad de la vulnerabilidad de instalar la actualización a la mayor brevedad posible.

Agradecimientos

Adobe desea agradecer a las siguientes personas y organizaciones por informar sobre este problema y por trabajar con Adobe para ayudar a proteger a nuestros clientes:

KrCERT/CC  (CVE-2018-4878)

bo13oy de Qihoo 360 Vulcan Team trabajando con Trend Micro’s Zero Day Initiative (Iniciativa Día Cero de Trend Micro)(CVE-2018-4877)

Fuente: Adobe Security Bulletin

Anuncios