Buenos Aires, 29 de marzo de 2012 (publicado originalmente en Tecnozona)
La segunda en menos de un mes. No los dejan respirar... ¿o el producto es un colador?
Para peor, el programa de instalación ha sido renovado "para favorecer al usuario final" según publicaron por ahí, cosa que me hace pedir que dejen de hacernos favores. Pero vamos por partes.
Primero, lo que Adobe publicó esta semana fue el Boletín APSB12-07, que soluciona dos fallas graves de seguridad. Una está identificada como CVE-2012-0772, descubierta y comunicada por el programa Microsoft Vulnerability Research (MSVR), la otra es la CVE-2012-0773, que fue investigada por un "informante anónimo" del sistema Zero Day Initiative de TippingPoint. En este último cambiaron de mano algunos dólares; en el primer caso, las malas lenguas dicen que... auch! no! con la zapatilla no!
Regresemos a la seriedad debida.
Para no aburrir al respetable público, las fallas de programación descubiertas pueden causar a) un cuelgue, lo que llamaríamos un Denial of Service a nivel local (qué elegante!) o b) que un atacante tome control de la computadora afectada. Patético.
Productos afectados:
* Flash Player 11.1.102.63 y anteriores, para Windows, MacOSX, GNU Linux y Solaris
* Flash Player 11.1.111.7 y anteriores, para Android 2.x y 3.x
* Adobe AIR 3.1.0.4880 y anteriores, para Windows, MacOSX y Android
Puntillosamente la empresa afirma que el Adobe Flash Player 11.1.115.7 (y anteriores) para Android 4.x no está afectado por estas vulnerabilidades.
A qué versión hay que actualizar:
* Usuarios de Windows, MacOSX GNU Linux, recibirán la v.11.2.202.228
* A los afortunados usuarios de Solaris, les toca la v.11.2.202.223
---->En ambos casos les conviene pasar por el Flash Player Download Center y cuidado con los links que no apunten a ese sitio (!)
* Si tu celu trabaja con Android 2.x o 3.x, podrás encontrar la versión 11.1.111.8 en el Android Marketplace, de acuerdo con el humor de tu proveedor de turno
* Los que emplean Chrome para navegar recibirán la versión 11.2.202.228 a través del sistema de actualización (¿se enteraron que hay un nuevo Chrome desde ayer, sí?)
* Los que trabajan con AIR 3.1.0.4880 tendrán que bajarse la v.3.2.0.2070 del AIR Download Center del cual no voy a poner el link
* El AIR 3.1.0.4880 para Android será reemplazado por el 3.2.0.2080 vía el Android Marketplace
Sobre el "programa instalador de actualizaciones automáticas": ojo con esto. El sistema de instalación de actualizaciones anterior ha sido modificado, y con la versión que bajen a sus PC verán una nueva ventanita, que amablemente ofrece:
--Instalar actualizaciones automáticamente (recomendado)
--Notifíqueme cuando haya actualizaciones
--Nunca buscar actualizaciones (no recomendado)
Mi observación al respecto: tal como advierte Susan Bradley en Windows Secrets de esta semana bajo el subtítulo "Adobe Flash adds automatic updates", la instalación automática y descuidada podría obsequiar al desprevenido usuario con:
----la instalación de una muestra de un producto de seguridad McAfee
----una simpática y monona nueva Barra de Herramientas en el navegador, cortesía del Anunciante X
----un navegador Chrome
Por lo cual, adhiriéndome al consejo de Susan, convendría dejar marcada "Notifíqueme cuando haya actualizaciones" para luego leer (CuiDaDoSaMenTe) lo que aparezca en la dichosa pantalla.
Nota: el texto de las tres frases de la ventana de instalación, esas que ofrecen una de varias opciones, lo traduje de la versión en inglés. No leí la ventana en español, porque yo no uso Flash. Así que YMMV.
Que los SWF malignos los dejen en paz.
|