La vulnerabilidad, cuyo código es CVE-2016-7855, fue divulgada de forma privada por Neel Mehta y Billy Leonard, ambos miembros de Google Threat Analysis Group. Mehta fue uno de los cuatro investigadores acreditados como descubridores de la vulnerabilidad Heartbleed en 2014, posiblemente la de mayor impacto de las descubiertas ese año y que puso en riesgo una parte muy importante de Internet al afectar a OpenSSL.

Adobe ha dicho que no hay signos de abuso de ataques dirigidos utilizando esta nueva vulnerabilidad zero-day, siendo esto una petición de comentario de Mehta que no fue respondida en el momento de la publicación. La compañía desarrolladora de Flash ha comentado que “es consciente de un informe sobre un exploit, CVE-2016-7855, presente de forma pública, y que está siendo usada en ataques dirigidos limitados contra usuarios que usan Windows 7, 8.1 y 10.

La vulnerabilidad también afecta a las versiones 23.0.0.185 y anteriores de Flash para el escritorio de Linux y Mac, así como Flash Player para Google Chrome, Microsoft Edge e Internet Explorer sobre Windows 8.1 y Windows 10. Adobe explica que esta es una vulnerabilidad de usar después de liberar (use after free) que tendría que estar corregida a partir de la versión 23.0.0.205 en todas las plataformas. Las vulnerabilidades de usar después de liberar son corrupciones de memoria que exponen al sistema a la ejecución de código arbitrario. Los atacantes pueden explotar este tipo de vulnerabilidades en un intento de acceder a la memoria después de que esta haya sido liberada, pudiendo provocar un bloqueo del sistema o una ejecución de código.

Adobe urge a los usuarios a actualizar cuanto antes para evitar esta vulnerabilidad. Por otro lado, con el avance de HTML5, no estaría de más probar con prescindir de Flash, ya que cada vez menos webs lo utilizan incluso para reproducción multimedia. Quizá en su momento esta tecnología se mostrase como un mal necesario para ampliar las posibilidades de la web, pero actualmente parece mostrarse más como un problema que como una solución.

 

Fuente: ThreatPost | muyseguridad