Tenemos un nuevo boletín de Adobe: APBS11-27 sobre su actualización para Adobe Shockwave Player. El 8 de Noviembre de 2011 se liberó la actualización de la aplicación para las versiones de Windows y Mac OS X. Vulnerabilidades críticas han sido identificadas en la aplicación en la versión de Adobe Showwave Player 11.6.1.629 y anteriores para sistemas operativos Windows y Macintosh.
Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario o malicioso en el sistema afectado, por lo que se debe actualizar a la versión 11.6.3.633 siguiendo las instrucciones de su web Adobe ha clasificado la actualización como crítica y recomienda que los usuarios realicen la actualización más reciente de la instalación del producto.
La actualización resuelve una vulnerabilidad de corrupción de memoria en la biblioteca DlRapi que podría conducir a la ejecución de código (CVE-2011-2446). También se soluciona la vulnerabilidad CVE-2011-2447, la cual también corrige corrupción de memoria, pudiendo ejecutar código arbitrario por parte de un atacante. La biblioteca DlRapi también aparece como foco vulnerable en la vulnerabilidad clasificada en CVE-2011-2448. Y por último, el módulo TextXtra podría conducir a la ejecución de código malicioso mediante la vulnerabilidad CVE-2011-2449.
Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario o malicioso en el sistema afectado, por lo que se debe actualizar a la versión 11.6.3.633 siguiendo las instrucciones de su web Adobe ha clasificado la actualización como crítica y recomienda que los usuarios realicen la actualización más reciente de la instalación del producto.
La actualización resuelve una vulnerabilidad de corrupción de memoria en la biblioteca DlRapi que podría conducir a la ejecución de código (CVE-2011-2446). También se soluciona la vulnerabilidad CVE-2011-2447, la cual también corrige corrupción de memoria, pudiendo ejecutar código arbitrario por parte de un atacante. La biblioteca DlRapi también aparece como foco vulnerable en la vulnerabilidad clasificada en CVE-2011-2448. Y por último, el módulo TextXtra podría conducir a la ejecución de código malicioso mediante la vulnerabilidad CVE-2011-2449.
Desde Seguridad Apple os recomendamos que apliquéis la actualización en los equipos con Mac OS X que dispongan de la aplicación Shockwave Player lo antes posible. Hemos puesto muchos ejemplos de cómo una vulnerabilidad de "ejecución de código arbitrario" puede ser utilizada para tomar el control del sistema, como vimos en el ejemplo con Apple Safari 5.0.6, con el bug que explotaba Immnunity Canvas en Safari, o con el 0day de QuickTime. Mantén siempre actualizados tus sistemas.
No hay comentarios:
Publicar un comentario