Rynho Zeros Web » Macromedia http://www.rzw.com.ar Seguridad Informática Tue, 24 Jan 2012 21:26:56 +0000 en hourly 1 http://wordpress.org/?v=3.1.4 Flash Player 9.0.124.0 corrige grave vulnerabilidad http://www.rzw.com.ar/seguridad-informatica-5091.html http://www.rzw.com.ar/seguridad-informatica-5091.html#comments Tue, 15 Apr 2008 02:03:08 +0000 Martin Aberastegue http://www.rzw.com.ar/seguridad-informatica-5091.html Adobe Flash Player es propenso a una vulnerabilidad de desbordamiento de búfer que puede ser explotada de forma remota. Un atacante puede sacar provecho de este problema para ejecutar un código malicioso en el equipo del usuario.

Para que la explotación sea exitosa, el usuario debe tener instalada en su PC cualquier versión de Adobe Flash Player anterior a la 9.0.124.0. El ataque puede producirse por la simple visita a un sitio web que contenga un archivo flash malicioso.

Si la ejecución de código falla, de todos modos podría provocarse una condición de denegación de servicio (DoS), dejando de responder el programa asociado (por ejemplo Internet Explorer), o incluso Windows.

Se ha publicado información detallada sobre la técnica requerida para explotar esta vulnerabilidad, además de una prueba de concepto. No hay reportes claros de malwares que se aprovechen del problema, pero ante la posibilidad de que ello ocurra, se aconseja la inmediata actualización a la versión de Flash Player más reciente (al momento de este artículo, la 9.0.124.0).

Adobe Flash Player es un reproductor multimedia de archivos SWF (películas en Flash), FLV (Flash Video) y otros. Este tipo de archivos, incluye audio, video y metadatos, incluidos scripts.

Productos vulnerables:

- Adobe Flash Player 8.0.34.0
- Adobe Flash Player 8.0.35.0
- Adobe Flash Player 9
- Adobe Flash Player 9.0.28.0
- Adobe Flash Player 9.0.31.0
- Adobe Flash Player 9.0.45.0
- Adobe Flash Player 9.0.47.0
- Adobe Flash Player 9.0.48.0
- Adobe Flash Player 9.0.115.0
- RedHat Enterprise Linux Desktop Supplementary 5 client
- RedHat Enterprise Linux Extras 3
- RedHat Enterprise Linux Extras 4
- RedHat Enterprise Linux Supplementary 5 server
- S.u.S.E. Linux 10.1 ppc
- S.u.S.E. Linux 10.1 x86
- S.u.S.E. Linux 10.1 x86-64
- S.u.S.E. Novell Linux Desktop 9
- S.u.S.E. openSUSE 10.2
- S.u.S.E. openSUSE 10.3
- S.u.S.E. SUSE Linux Enterprise Desktop 10 SP1

Producto NO vulnerable:

- Adobe Flash Player 9.0.124.0

Ver versión de Macromedia FlashPlayer instalada

http://www.adobe.com/software/flash/about/

Descarga de Flash Player:

Player Download Center

http://www.adobe.com/go/getflash

Más información:

Adobe Flash Player Multimedia File Remote Buffer Overflow Vulnerability

http://www.securityfocus.com/bid/28695

Application-Specific Attacks:Leveraging the ActionScript Virtual Machine (Mark Dowd of X-Force IBM ISS)

http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf

FrequencyX Blog: Flash (X-Force IBM ISS)

http://blogs.iss.net/archive/flash.html

Install Adobe Flash Player (Adobe)

http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

APSB08-11 Flash Player update available to address security vulnerabilities (Adobe)

http://www.adobe.com/support/security/bulletins/apsb08-11.html

RHSA-2008:0221-3: Critical: flash-plugin security update (Red Hat)Adobe Flash Homepage (Adobe)

https://rhn.redhat.com/errata/RHSA-2008-0221.html

CVE-2007-0071

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071

Relacionados:

Adobe Flash Homepage (Adobe)

http://www.adobe.com/products/flash/

Adobe Homepage (Adobe)

http://www.adobe.com/

Expertos advierten sobre la seguridad en AIR

http://www.vsantivirus.com/01-03-08.htm

Archivos Flash, un gran problema de seguridad

http://www.vsantivirus.com/03-01-08.htm

Créditos:

Mark Dowd (ISS X-Force)
wushi (team509)

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

]]> http://www.rzw.com.ar/seguridad-informatica-5091.html/feed 0 Macromedia prepara a usuarios para cambios en IE http://www.rzw.com.ar/seguridad-informatica-980.html http://www.rzw.com.ar/seguridad-informatica-980.html#comments Tue, 30 Nov 1999 00:00:00 +0000 Martin Aberastegue Macromedia anunció el lanzamiento del Centro Activo para Desarrolladores de Contenido (Active Content Developer Center) en Macromedia.com para ofrecer información, herramientas y recursos para enfrentar los futuros cambios que se introducirán en el navegador Microsoft Internet Explorer (IE), como resultado del caso por patente Microsoft/Eolas.

SANTIAGO: “Nuestro objetivo es asegurar que los desarrolladores cuenten con las herramientas necesarias para actualizar sus sitios web de manera que los usuarios finales continúen disfrutando de las mejores experiencias digitales posibles”, dijo Norm Meyrowitz, presidente de productos de Macromedia. “Aún sabiendo que el nuevo navegador no estará disponible hasta el próximo año, hemos estado trabajando duro y hoy ya tenemos disponibles un conjunto de soluciones para ayudar a los desarrolladores, administradores de sitios web y dueños de empresas, a navegar a través de este cambio y asegurar una transición uniforme”.

Para poner al tanto a los desarrolles web, el equipo de desarrollo de Macromedia está proveyendo algunos ejemplos de htmls y scripts, con los “antes y después”, que se pueden encontrar en el Centro Activo para Desarrolladores de Contenido en www.macromedia.com/devnet/activecontent/. Los desarrolladores pueden comenzar rápidamente actualizando sus sitios web aplicando ya sea, un cambio manual a las páginas afectadas, o escribiendo sus propios scripts para aplicar el cambio a través de su sitio.

Además, Macromedia está lanzando un set gratuito de herramientas denominado Active Content Update Utilities que, en un corto plazo, también estará disponible a través del Centro Activo de Desarrollo de Contenido. Utilizando estas funciones, el desarrollador podrá incorporar eficientemente los cambios necesarios para soportar el contenido creado con tecnologías de Macromedia, tales como Macromedia Flash™, Shockwave®, y Authorware®. Las utilidades van a ser provistas en forma gratuita en un esquema de licenciamiento de código abierto.

“Para los desarrolladores, queremos que este cambio sea lo más fácil posible”, dijo Mike Sundermeyer, senior vice president, product design, Macromedia. “Creemos que la mayoría de los sitios web serán actualizados una vez que la nueva versión de Internet Explorer sea utilizada en forma amplia, de modo que, para la mayoría de los usuarios web, este cambio debería ser
transparente”.

A medida que la comunidad vaya incorporando los cambios generados a raíz de las alteraciones introducidas a Microsoft Internet Explorer, Macromedia.com va a continuar proveyendo la última información y soluciones para responder a estos cambios.

Enlaces de interés:

http://www.macromedia.com
http://www.microsoft.com

http://www.eolas.com

]]> http://www.rzw.com.ar/seguridad-informatica-980.html/feed 0 Actualización de seguridad para JRun http://www.rzw.com.ar/seguridad-informatica-1.html http://www.rzw.com.ar/seguridad-informatica-1.html#comments Tue, 30 Nov 1999 00:00:00 +0000 Martin Aberastegue Macromedia ha anunciado -en
http://www.macromedia.com/v1/handlers/index.cfm?ID=23500 – la disponibilidad
de una importante actualización para las versiones 3.0, 3.1 y 4.0 de JRun.


Los problemas -específicos de Windows e Internet Information Server- que
corrige la mencionada actualización están relacionados con:

- Una vulnerabilidad de descubrimiento de información crítica, tanto en
archivos “log” como del fichero jrun.ini.

- Desbordamiento de buffer, con todas sus posibles implicaciones, al
efectuar peticiones con una URL de gran tamaño.

La referida actualización también soluciona otros problemas que afectan a
JRun en todas las plataformas, entre los que se incluyen:

- Regresión en la anterior actualización de seguridad.

- Descubrimiento del código fuente de las páginas JSP, al emplear caracteres
de escape Unicode.

]]> http://www.rzw.com.ar/seguridad-informatica-1.html/feed 0