Nuevo 0-day en Flash Player, o el cuento de nunca acabar

Ni siquiera el hecho de ser una tecnología en retirada está salvando a Adobe Flash Player de vulnerabilidades 0-day. En esta ocasión es el CERT de Corea del Sur el que detecta una vulnerabilidad desconocida que ya está siendo activamente explotada.



Aunque quedan tres años para el adios definitivo a Adobe Flash, aun hay tiempo suficiente para que los atacantes sigan viendo en este un vector de ataque con garantías de éxito. Esta vez se trata de una vulnerabilidad 0-day en Adobe Flash Player, que según el aviso publicado por el CERT de Corea del Sur está siendo activamente explotada. 

Identificada como CVE-2018-4878 y catalogada como crítica, la vulnerabilidad se basa en un fallo 'use-after-free' que puede dar lugar a la ejecución de código arbitrario de forma remota. Entre los sistemas afectados se encuentran todas las versiones de Flash Player hasta la 28.0.0.137 (esta incluida) en las versiones para navegadores Chrome, Internet Explorer y Edge. También están afectadas las versiones de escritorio para Windows, Macintosh, Linux y ChromeOS.

Adobe, según anuncia en su propio boletín, no publicara parches para solucionar esta vulnerabilidad hasta algún momento indeterminado de la semana próxima, a pesar de que reconoce saber que está siendo explotada.

A este respecto, el vector utilizado está siendo documentos de Microsoft Office que embeben contenido Flash malicioso. Por tanto, el ataque en cuestión tiene como objetivo a usuarios de Microsoft Windows. Aunque las fuentes oficiales no se han pronunciado, algunos investigadores apuntan a que puede estar relacionado con prácticas de espionaje de Corea del Norte desde al menos mediados de noviembre.

Mientras Adobe no publica una nueva versión que solucione la vulnerabilidad, las contramedidas ofrecidas pasan por configurar Flash Player para que pida autorización para ejecutar ficheros Flash o activar la vista protegida de Microsoft Office, que abrirá los ficheros potencialmente inseguros en modo de solo lectura.


Francisco López

Más información:

Adobe Flash Player New Vulnerability Advisory Recommendation:

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998

Security Advisory for Flash Player | APSA18-01:
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html



Via: unaaldia.hispasec.com
Nuevo 0-day en Flash Player, o el cuento de nunca acabar Nuevo 0-day en Flash Player, o el cuento de nunca acabar Reviewed by Zion3R on 17:44 Rating: 5