Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social digg  Bookmarking social delicious  Bookmarking social reddit  Bookmarking social stumbleupon  Bookmarking social slashdot  Bookmarking social yahoo  Bookmarking social google  Bookmarking social blogmarks  Bookmarking social live      

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Adobe Flash 10 y las vulnerabilidades "oportunas"

Ver el tema anterior Ver el tema siguiente Ir abajo

Adobe Flash 10 y las vulnerabilidades "oportunas"

Mensaje por Gaillimh el Vie Oct 17, 2008 3:13 pm

Hispasec - una-al-día 16/10/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Adobe Flash 10 y las vulnerabilidades "oportunas"
-------------------------------------------------

Flash ya va por su versión 10. En esta nueva actualización, Adobe ha
potenciado sobre todo las posibilidades de explotar el sonido por parte
de los diseñadores. El problema es que con esta versión, además,
aprovecha para dejar sin resolver temporalmente varios problemas de
seguridad en su rama 9.

Además de los antivirus "rogue" (falsos antivirus que no son más que
malware) también está últimamente de moda entre los atacantes intentar
que los usuarios de Windows descarguen una supuesta nueva actualización
de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo
de YouTube, se pide la descarga de una nueva versión de Flash que
corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su
versión 10 de Flash Player y obviamente, recomienda su descarga. Es
posible que esto confunda a usuarios que estén al tanto de la
publicación de la nueva versión legítima de Flash, resultando así la
ingeniería social más efectiva. Ante este potencial peligro, es
necesario insistir en que las actualizaciones en general deben
realizarse sólo a través de las páginas oficiales, además de comprobar
que el archivo se encuentra firmado digitalmente por la compañía
adecuada (algo que realiza Windows de forma automática por defecto).

Entre las mejoras, Flash 10 corrige la funcionalidad de versiones
anteriores que permite a una web secuestrar el portapapeles. Con la
función "setClipboard" de ActionScript (el lenguaje de programación de
Adobe Flash) se puede modificar (pero no acceder) el contenido del
portapapeles. Esto se está aprovechando actualmente para, a través de un
archivo SWF, modificar a gusto del atacante el contenido del clipboard.
Curiosamente, Flash 10 introduce una nueva función
Clipboard.generalClipboard.getData que sí permite la lectura del
portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a
suponer un problema grave de seguridad si se saltan las restricciones
tenidas en cuenta por Adobe.

Adobe admitió el potencial peligro de estas funciones pero aun así no lo
ha solucionado en las versiones anteriores a la 10. Como muchas otras
compañías hacen, corregir exclusivamente en versiones avanzadas ciertos
problemas (que pueden ser incluso de seguridad) sirve como excusa para
fomentar una migración a su software más moderno. Por ejemplo, en estos
momentos existen cinco potenciales fallos de seguridad en la rama 9 de
Flash, que han sido solucionados exclusivamente en la 10. Para su
versión 9, muy usada aún, se prolonga "artificialmente" la espera de la
actualización hasta principios de noviembre.

Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le
son "oportunas" y aprovechan para actualizar sólo en una rama superior
de su producto, forzando así una migración. Se usa la seguridad como
moneda de cambio bien para obligar (como es el caso) a la conveniente
actualización de un cliente gratuito (pero cuyo contenido se desarrolla
con programas de pago), bien para directamente vender nuevos productos.

Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A
finales de marzo de 2003 Microsoft publicaba un boletín de seguridad
para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper
que podría ser aprovechada para provocar una denegación de servicio
contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se
informaba de que sólo estaban disponibles los parches para las versiones
de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de
actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa
oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que
es poco robusta en comparación con Windows 2000, y que requeriría
demasiadas modificaciones para solucionar el problema. La excusa no se
sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta...
¿y si hubiera salido a la luz unos años antes, cuando no existía Windows
2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este
incidente significaría el principio del fin para un producto que incluso
hoy en día está muy arraigado en las empresas.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3645/comentar

Más información:

01/09/2008 El "secuestro" del portapapeles
http://www.hispasec.com/unaaldia/3600

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb08-18.html

Adobe to prevent clipboard attacks via Flash Player
www.heise.de/english/newsticker/news/116338

27/03/2003 El principio del fin para Windows NT
http://www.hispasec.com/unaaldia/1614


Sergio de los Santos
ssantos@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.