Múltiples vulnerabilidades en Adobe Flash Player

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad.

Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005. Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.

Los problemas corregidos incluyen errores de validación de entradas que podrían permitir la ejecución de código arbitrario y que podría ser explotado desde un navegador web, un cliente de correo, o cualquier otra aplicación que incluyera o referenciara el reproductor Flash.

Esta actualización incluye funcionalidades para mitigar potenciales problemas que podrían facilitar a un atacante la ejecución de ataques de revinculación DNS (DNS rebinding). También introduce un método más conservador para la interpretación de políticas de dominios cruzados por Flash Player. Estos cambios ayudarán a prevenir ataques de escalada de privilegios contra servidores web que alojen contenido Flash.

Con esta actualización, el valor por defecto de allowScriptAccess (que se usa cuando no se especifica el parámetro), se cambia de “always” a “sameDomain” para todos los SWFs versión 7 y anteriores. Esto cambia el comportamiento de los SWFs antiguos para asignarles el modelo de seguridad actual y proporcionar mayor seguridad por defecto.

Además, para prevenir la ejecución de scripts en SWFs que no fueron creados para ello por su autor, las APIs que no hayan diseñadas específicamente para la interacción con el navegador no aceptan URLs “javascript:”. Las APIs getURL() y navigateToURL() seguirán aceptando URLs “javascript:”.

Debido a que todos estos cambios y mejoras de seguridad pueden tener un impacto en el contenido Flash existente, Adobe recomienda a todos los desarrolladores la revisión del documento:

http://www.adobe.com/devnet/flashplayer/articles/flash_player9_security_update.html

para determinar si la actualización afecta a su contenido, y comenzar a implementar los cambios necesarios de inmediato para llevar a cabo una transición sin problemas.

Se recomienda actualizar cada navegador en el sistema a través de:

http://www.adobe.com/go/getflash

Lea también : QNAP soportará QTS 5.2 y QuTS hero h5.2 a largo plazo