Buenos Aires, 14 y 15 de febrero de 2012
Los parches programados, o para decirlo más elegantemente, la Actualización Programada Trimestral, fue realizada por Adobe el 10 de enero, al publicar el Boletín de Seguridad APSB12-01.
En una nota anterior
les detallé las fallas encontrados en esos productos, así que ahora nos dedicaremos a los boletines aparecidos en febrero.
La numeración (12-02, 12-03, 12-04) me permite sospechar que estaban los tres en las gateras, pero el diablo metió la cola, ya que uno de ellos, el 03, fue publicado un día después que sus dos compañeros. Tal vez el problema con Adobe Flash, sujeto del boletín publicado con retraso, haya sido mayor. También es posible que el parche rompiera algo, y los programadores tuvieran que dedicar unas horas extras a una furibunda limpieza de código. Sospecho que nunca lo sabremos, así que basta de especulaciones, y a los boletines.
Para usuarios de Adobe Shockwave Player, Boletín de Seguridad APSB12-02
* Versiones afectadas: Shockwave Player 11.6.3.633 y anteriores, corriendo sobre plataformas Windows y Mac.
* La nueva versión 11.6.3.634 puede descargarse en esta página oficial.
* Qué se soluciona: nueve vulnerabilidades, que en todos los casos permiten corrupciòn de memoria, la que puede dar lugar a que un atacante ejecute el código que se le de la gana en una máquina. Por ejemplo, en la tuya.
* En seis de los casos, las fallas de programaciòn que producen vulnerabilidades estaban en el componente Shockwave 3D
* Quienes descubrieron y comunicaron las fallas fueron Honggang Ren de Fortinet FortiGuard Labs, y un amable hacker (instruder) de Code Audit Labs en vulnhunt.com
Para usuarios de Adobe Adobe Flash Player, Boletín de Seguridad APSB12-03
* Versiones afectadas: Flash Player 11.1.102.55 y anteriores para Windows, Mac, GNU Linux y Solaris; Flash Player 11.1.111.5 y anteriores para Android 2.x y 3.x; y 11.1.112.61 y anteriores para Android 4.x.
* Las versiones actualizadas para PC, marcadas 11.1.102.62, deben obtenerse en la página de descarga oficial, excepto los que empleen Google Chrome como navegador, a quienes les será descargado al actualizar el mismo.
* Los usuarios de celulares con Android deberán bajar las versiones 11.1.111.6 para Android 2.x o 3.x, o la 11.1.115.6 para el 4.x, empleando su equipo y desde un Android Market. Ojo, que en algunos casos habrá que ver qué hace el proveedor local.
* Qué se soluciona: siete fallas de programación, tres de las cuales afectan exclusivamente a usuarios de Windows con Internet Explorer, una es por un control ActiveX y otra una falla en el uso de algún webmail (Hotmail o Gmail, por ejemplo)
* Las fallas fueron comunicadas por Xu Liu de Fortinet FortiGuard Labs, Bo Qu de Palo Alto Networks, Alexander Gavrun a través de TippingPoint Zero Day Initiative y Eduardo Vela Nava del Google Security Team
En cuanto a los que trabajan con RoboHelp, les interesará el Boletín de Seguridad APSB12-04
* En este caso, se trata de fallas de diseño en RoboHelp para Word, que corre (obviamente) sobre Microsoft Windows, las versiones afectadas son RoboHelp 8 y 9.
* Se trata de una sola vulnerabilidad, para explotar la cual se emplea una dirección URL especialmente redactada, que generará un ataque Cross Site Scripting.
* En el boletín mencionado se detallan los pasos a seguir, que se inician descargando un archivo comprimido, preparado para la ocasión por Adobe. Lectura recomendada, entonces, el Boletín APSB12-04
* El héroe de la semana ;) en este caso fue David Damstra
Eso es todo, sufridos usuarios de productos Adobe. Si quieren seguir usando Flash, es su problema...
|