0-day para Adobe Reader, Acrobat y Flash Player

Permalink 23.07.09 @ 20:59:50. Archivado en Vulnerabilidades, Ejecución de código

more: cafemigao.com

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 23/07/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Confirmado el 0-day para Adobe Reader, Acrobat y Flash Player
-------------------------------------------------------------

El día 21 se publicó en el blog del PSIRT de Adobe una breve nota en la cual se informaba que estaban investigando una vulnerabilidad en Reader, Acrobat y Flash Player. Symantec habría publicado un breve análisis sobre la explotación de esta vulnerabilidad y un día después Adobe confirma la vulnerabilidad como crítica para las versiones de sus productos afectados en sistemas Windows, Unix y Mac.

El equipo de analistas de Symantec recibió un documento PDF especialmente manipulado para ejecutar código (que ellos identificaron como Pidief.G) que al ser abierto infectaba al equipo con un troyano. Al efectuar el examen del proceso de explotación del lector de Adobe, observaron que la vulnerabilidad no se hallaba donde suponían, en el lector, sino en el reproductor Flash.

El lector PDF llama al reproductor Flash si encuentra contenido en dicho formato dentro del documento PDF y es entonces cuando se produce la explotación de la vulnerabilidad sobre el reproductor Flash.

El documento PDF es un medio para llegar al reproductor y en principio no se trataría de una vulnerabilidad transversal, que afecte a varios productos de manera independiente sino que tanto Acrobat como Reader contienen la librería "autoplay.dll" encargada de gestionar con el reproductor el contenido Flash.

De hecho incluso la misma vulnerabilidad podría estar siendo explotada a través de una página web con un archivo swf especialmente manipulado.

Adobe recomienda activar el UAC en Windows Vista en particular y, como contramedida, borrar el archivo "autoplay.dll" que se encuentra en los directorios de instalación de Reader o Acrobat en sistemas Windows en general.

Según Adobe, el día 30 de julio se dispondrá de una actualización de seguridad de Flash Player para todos los sistemas a excepción de Sun Solaris y el 31 de julio se dispondrá de la correspondiente para Adobe
Reader y Acrobat para Windows y Mac y deja pendiente de fecha la publicación de una solución para sistemas UNIX.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3925/comentar

Más información

Update on Adobe Reader, Acrobat and Flash Player Issue
http://blogs.adobe.com/psirt/2009/07/update_on_adobe_reader_acrobat.html

Potential Adobe Reader, Acrobat, and Flash Player issue
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

Next-Generation Flash Vulnerability
http://www.symantec.com/connect/blogs/next-generation-flash-vulnerability

David García
dgarcia@hispasec.com

Tal día como hoy:
-----------------

23/07/2008: Firefox 3 aprovecha una opción de seguridad de Internet Explorer
http://www.hispasec.com/unaaldia/3560

23/07/2007: Ejecución de código través de imágenes Targa en DirectX de Microsoft Windows
http://www.hispasec.com/unaaldia/3194

23/07/2006: Páginas "de confianza" como fuente de troyanos
http://www.hispasec.com/unaaldia/2829

23/07/2005: Vulnerabilidad de inserción de scripts en Novell GroupWise 6.5
http://www.hispasec.com/unaaldia/2464

23/07/2004: Salto de mecanismos de autenticación en Sun Java System Portal Server 6.2
http://www.hispasec.com/unaaldia/2098

23/07/2003: Nuevo Apache 1.3.28
http://www.hispasec.com/unaaldia/1732

23/07/2002: Estadísticas del CERT para el primer semestre del 2002
http://www.hispasec.com/unaaldia/1367

23/07/2001: Vulnerabilidades en la librería OpenSSL
http://www.hispasec.com/unaaldia/1002

23/07/2000: Primeras negaciones a la instalación de Carnívoro
http://www.hispasec.com/unaaldia/636

23/07/1999: Quinta encuesta de la ICSA sobre la influencia víric
http://www.hispasec.com/unaaldia/270

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)

iQEcBAEBAgAGBQJKaBLIAAoJEFDXatfcTK/rZvcIAJwI7ixGIlO+d00v2A9vCU7z
qhoLkC6BZLEXkX1gwa0BsPFK1hSvtQ2Kw1YzR0wqQmoiSTr47PZvDrrQl4GiUKvj
ZGod5iKNJT1pXPFVwfQxo3lVWUORTI2h2+2P16ygWLgINhJXanZxveusdEg1Wtn3
dArlyypSVuzlXk24LTNJcE+WowN1iDjvyk8CD0mKxYZwXMpsiEq07imRAq00Esii
mUXIXFMw8ZH79/sdIGGuaBtQxj1stpJEgiTHYNYjVbfA5b7wkRYpoHqwI8EdIB3y
R3qZ6nqcXTcr9Til4N8EEiwD3bXDcZmGv9ipaRlKLdYW2s4rWk+BlMsrcMFNvcw=
=P8jj
-----END PGP SIGNATURE-----

Enlace permanenteTrackback (0)

Bookmark and Share

Comentarios:

Aún no hay Comentarios para este post...

Se muestran únicamente los últimos 40 comentarios de cada post.

Los comentarios para este post están cerrados.

Blogs
Humanismo sin credos

Humanismo sin credos

¿Importa conocer de dónde procede lo que se cree?

Asoc. Humanismo sin Credos
El alma del haiku

El alma del haiku

Nadie

Vicente Haya
A contracorriente, el blog de Enrique Arias Vega

A contracorriente, el blog de Enrique Arias Vega

Sudáfrica en la encrucijada

Enrique Arias Vega
Religión Digital

Religión Digital

Cinco caminos para la nueva evangelización del I.D.R.

Religión Digital
Federación de Comunidades Judías de España

Federación de Comunidades Judías de España

Madrid - Acto en la Facultad de Filología de la Complutense

FCJE
Arte

Arte

Las diez recomendaciones semanales de la Guía Cultural

Periodista Digital
Secularizados, mística y obispos

Secularizados, mística y obispos

Entrar en la órbita del poder

Josemari Lorenzo Amelibia
Un país a la deriva

Un país a la deriva

Hasta los webs de los nacionalistas

Vicente A. C. M.
Diario nihilista de un antropólogo

Diario nihilista de un antropólogo

El mapa y el fútbol

Manuel Mandianes
Bokabulario de Fernández Barbadillo

Bokabulario de Fernández Barbadillo

Y por fin Garzón interrogó a Henry Kissinger

Pedro Fernández Barbadillo
Teología sin censura

Teología sin censura

La bondad desconcertante y escandalosa

José Mª Castillo
Gastronomía Navarra

Gastronomía Navarra

Musalinas de salmón - Receta del libro escuela de cocina navarra "El Bosquecillo"

Mª Rosario Aldaz Donamaría
El Blog de Francisco Margallo

El Blog de Francisco Margallo

Carta 24 a un político

Francisco Margallo
No más mentiras

No más mentiras

Inicio y muerte de un empresario

Antonio García Fuentes
Blog del País Vasco

Blog del País Vasco

¿Y si las agencias de calificación tuvieran razón?

Raúl González Zorrilla
Isabel Gómez Acebo

Isabel Gómez Acebo

Carta de Ivone Gebara

Isabel Gómez Acebo
Contracorriente

Contracorriente

COMUNICADO del SINDICATO UNIFICADO de POLICIA CONTRA los CIES

Rodrigo del Pozo Fernández
El blog de Antonio Piñero

El blog de Antonio Piñero

Sobre Crossan, Meier, Dunn, Theissen y otros acerca del mito de la singularidad de Jesús (416-01)

Antonio Piñero
Mi vocación

Mi vocación

Hagamos la revolución del amor

Sor Gemma Morató
Tres foramontanos en Valladolid

Tres foramontanos en Valladolid

Arte enlatado

Bustamante, Arévalo y Pardo de S.
Haz de PD tu página de inicio | Cartas al Director | Publicidad | Buzón de sugerencias | Publicidad
Periodista Digital, SL CIF B82785809
Avenida de Asturias, 49, bajo - 28029 Madrid (España)
Tlf. (+34) 91 732 19 05
Aviso Legal | Cláusula exención responsabilidad

redaccion@periodistadigital.com Copyleft 2000

 b2evolution Creative Commons License
This work is licensed under a Creative Commons License. Noticias Periodista Digital | Periodista Latino | Reportero Digital | Ciudadano Digital | Chistes, Videos y Poesias