Atentos: Vulnerabilidad crítica en Flash
Quizás eres uno de los muchos millones de personas que usan Adobe Flash en su computadora. Quizás estás al tanto de los muchos agujeros de seguridad que regularmente se encuentran en Flash y lo actualizaste debidamente esta semana cuando Adobe lanzó múltiples actualizaciones de seguridad, muchas de las cuales fueron categorizadas como críticas.
Quizás piensas que tu computadora está a salvo de atacantes que pudieran explotar fallas en Flash por un tiempo, ya que estás utilizando la última versión (19.0.0.207) del producto. Pero no es así.
Apenas unas horas después de lanzar su conjunto de parches regular, Adobe publicó otro boletín de seguridad advirtiendo sobre una vulnerabilidad crítica que está siendo explotada en forma activa por cibercriminales, para instalar malware en computadoras de sus blancos.
Una vulnerabilidad crítica (CVE-2015-7645) ha sido identificada en Adobe Flash Player 19.0.0.207 y versiones anteriores para Windows, Macintosh y Linux. La explotación exitosa podría causar un colapso y potencialmente permitir a un atacante tomar control del sistema afectado.Adobe tiene conocimiento de un reporte de que un exploit para esta vulnerabilidad está siendo usado en ataques limitados y dirigidos. Adobe espera poner a disponibilidad una actualización la semana del 19 de octubre.
Se cree que el grupo que está explotando la falla es Pawn Storm, cuyos miembros secretos han estado realizando una sofisticada campaña de malware que tiene como blanco a organizaciones gubernamentales, militares y periodísticas de los Estados Unidos, Ucrania y alrededor de Europa.
La banda típicamente manda correos electrónicos cuidadosamente diseñados a sus víctimas elegidas, con documentos de Word tramposos adjuntos, o atrae a las más desprevenidas para que visiten sitios envenenados con exploit kits que apuntan a navegadores web desactualizados.
...
También tiene los recursos para dejar al descubierto nuevas vulnerabilidades zero-day; así como esta falla en Flash, por ejemplo, se encontró este año que estaba explotando el primer zero-day en Java que se había descubierto en varios años.
Esto resultó en que muchas personas creyeran que Operation Pawn Storm es un ejemplo de cibercrimen apoyado por el Estado. Pero aunque no trabajes para un gobierno, la milicia, una organización de medios… aunque no seas un activista político que ha causado algo de revuelo… tiene sentido que mantengas tus sistemas protegidos y ejecutando la última versión de todo el software.
Desafortunadamente para los usuarios de computadoras, la vulnerabilidad está presente en la última versión de Adobe Flash Player, 19.0.0.207, así como en las anteriores para Windows y Macintosh. Perdón, amantes de Linux, también está en Flash 11.2.202.535 y anteriores para su plataforma.
Una medida que podrías tomar es considerar desinstalar por completo Flash de tu computadora. Esa es una decisión que muchos están empezando a tomar, pero sospecho que la mayoría no están del todo listos para hacerlo.
Con esta función habilitada, tu navegador no reproducirá contenido Flash potencialmente malicioso a menos que y hasta que le des permiso específico. En otras palabras, un archivo Flash con código malicioso no se ejecutará a menos que lo autorices, en vez de reproducirse en forma automática cuando visitas una página web.
Ten en cuenta que Flash también está integrado en Adobe AIR y Shockwave, y por lo tanto ambos pueden ser vulnerables a ataques. En el caso de Shockwave, ya casi no se usa, pero muchas personas todavía lo tienen acechando en sus computadoras. A menos que sepas que lo necesitas, mi recomendación es que lo desinstales.
A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.
A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.
Fuente: welivesecurity.com
Haz clic aquí para ver: Como desinstalar Flash de los navegadores
Vísitanos en Underc0de