Adobe advierte sobre vulnerabilidad crítica en Flash Player
Adobe confirmó la existencia de una vulnerabilidad crítica en Flash Player 28.0.0.137 y versiones anteriores, identificada como CVE-2018-4878. Esta falla puede permitir a un atacante tomar el control completo del sistema afectado.
Detalles del ataque
Los atacantes están utilizando documentos de Microsoft Office con contenido Flash malicioso para explotar esta brecha. El riesgo es alto porque Flash sigue presente en navegadores como Google Chrome e Internet Explorer, a pesar de sus fallos de seguridad conocidos.
Respuesta de Adobe
La empresa anunció que lanzará un parche correctivo la semana del 5 de febrero. Mientras tanto, recomienda a los usuarios y administradores verificar su exposición y aplicar medidas de mitigación inmediatas.
Planea liberar un arreglo para corregir el defecto en los próximos días, pero ahora puede ser un buen momento para verificar su exposición a este todavía omnipresente programa y endurecer sus defensas.
Adobe dijo que una vulnerabilidad crítica (CVE-2018-4878) existe en Adobe Flash Player 28.0.0.137 y versiones anteriores. La explotación con éxito podría permitir a un atacante tomar el control del sistema afectado.
La empresa de software advierte que una manera de explotar el defecto está siendo utilizado en el medio, y que hasta el momento los ataques aprovechan los documentos de Microsoft Office con contenido Flash malicioso incorporado.
Adobe anunció planes para solucionar esta vulnerabilidad en un comunicado, prevista para la semana del 5 de febrero.
Según Adobe’s Advisory, comenzando con Flash Player 27, los administradores tienen la capacidad de cambiar el comportamiento de Flash Player cuando se ejecuta en Internet Explorer en Windows 7 y menor al preguntar al usuario antes de reproducir contenido Flash. Una guía sobre cómo hacerlo es aquí (PDF). Los administradores también pueden considerar la aplicación de Vista Protegida para Office . La Vista Protegida abre un archivo marcado como potencialmente inseguro en modo de Sólo-Lectura.
Con suerte, la mayoría de los lectores aquí ha tomado consejos para desactivar, o al menos entorpecer a Flash, un componente a menudo con errores e inseguro que, no obstante, se incluye por defecto con Google Chrome e Internet Explorer.
Este enfoque (así como las ligeramente menores soluciones radicales) pueden ser encontradas en Un Mes sin Necesidad de Adobe Flash Player. La versión corta es que usted probablemente pueda continuar sin flash instalado y no extrañarlo en absoluto.
Para los lectores que se encuentren dispuestos a cortar el cordón con Flash, hay medidas a medias que funcionan casi tan bien. Afortunadamente, deshabilitando Flash en Chrome es suficiente. Pegar “chrome://settings/content” en la barra de un navegador Chrome y, a continuación, seleccione “Flash” de la lista de elementos.
Por defecto debe ser ajustado a “Preguntar” antes de ejecutar Flash, aunque los usuarios también puede desactivar Flash enteramente desde aquí o de la lista blanca y lista negra de sitios específicos.
Por defecto, Mozilla Firefox en los ordenadores Windows con Flash instalado se ejecuta Flash en un “modo protegido“, en el que se solicita al usuario que decida si desea activar el plugin antes de que el contenido de Flash se ejecuta en un sitio Web.
En la actualidad el ochenta y seis por ciento de las vulnerabilidades reportadas provienen de aplicaciones de terceros. La importancia de contar con una herramienta que permita la aplicación de parches de software de terceros, así como los parches de Microsoft de Windows se debe de considerar como primer linea de defensa en las empresas.
Igual con soluciones de Seguridad Web en el Gateway, que permitan deshabilitar el SO y navegadores que se encuentren comprometidos debido a que son obsoletos o simplemente sean vulnerables ante una amenaza de día-cero.
Si los equipos ya se encuentran comprometidos, es importante pueda bloquear las comunicaciones C&C para evitar el exfiltrado de datos, formando parte de una estrategia completa para la defensa de amenazas avanzadas y ataques de día-cero.
