1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-104 Multiples Vulnerabilidades en Adobe Flash Player

Han sido reportadas múltiples vulnerabilidades en Adobe Flash Player que podrían causar la ejecución de código arbitrario.

  • Fecha de Liberación: 14-Sep-2006
  • Ultima Revisión: 14-Sep-2006
  • Fuente: APSB06-11
  • CVE ID: CVE-2006-3014 CVE-2006-3311 CVE-2006-3587 CVE-2006-3588 CVE-2006-4640
  • Riesgo Muy alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Puente de Seguridad

Sistemas Afectados

Adobe Flash Player 8.0.24.0
  1. Descripción

    Múltiples vulnerabilidades han sido reportadas en Adobe Flash Player, que pueden ser explotadas por personas maliciosas para poder evadir ciertas restricciones de seguridad o comprometer el sistema del usuario.

    1) Un error de verificación de frontera de buffer durante el manejo dinámico generado en tiempo de ejecución puede ser explotado para causar un buffer overflow vía cadenas excesivamente largas, pudiendo ejecutar instrucciones arbitrarias.

    2) Un error no especificado permite una evasión de la opción “allowScriptAccess”

    3) Usando un objeto “Shockwave Flash Object” es posible ejecutar archivos que contengan JavaScript dentro de documentos de office de forma automática cuando los documentos de office estén abiertos.

    Un archivo malicioso SWF necesita ser cargado para que un usuario pueda explotar esta vulnerabilidad con éxito.

  2. Impacto

    Los usuarios que no cuenten con la actualización correspondientes son vulnerables a ejecución de código arbitrario.

  3. Solución

    Adobe recomienda que los usuarios de Flash Player 8.0.24.0 y anteriores versiones sean actualizadas a la nueva versión 9.0.16.0, para poder realizar esta descarga dirigirse al Player Download Center, o usando el mecanismo de auto-update.

  4. Referencias

    http://secunia.com/advisories/21865

    http://www.adobe.com/support/security/bulletins/apsb06-11.html

    http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4640

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT