Subdirección de Seguridad de la Información

Subdirección de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7 8

Vulnerabilidades rss pdf

Subdirección de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-527 Ejecución de código arbitrario en Flash Player de Macromedia al manejar archivos SWF.

Se reportó una vulnerabilidad en Flash Player de Macromedia, que puede explotarse para comprometer el sistema de un usuario.

  • Fecha de Liberación: 5-Nov-2005
  • Ultima Revisión: 7-Nov-2005
  • Fuente:

    Fang Xing, eEye Digital Security.
    AD20051104

  • CVE ID: CAN-2005-2628
  • Riesgo Altamente Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Validación inapropiada

Sistemas Afectados

Macromedia Flash Player 7.0.19.0
  1. Descripción

    eEye Digital Security reportó una vulnerabilidad en Flash Player de Macromedia, que puede explotarse por personas maliciosas para comprometer el sistema de un usuario.

    • La vulnerabilidad es ocasionada por la falta de validación del identificador de tipo de marco, que se lee de un archivo SWF. Este valor es utilizado como un índice dentro de Flash.ocx para referenciar un arreglo de apuntadores a funciones. Esto puede explotarse via un archivo SWF malicioso para que el indice de referencia de la memoria quede bajo el control del atacante, éste puede utilizar Flash Player para suplirle valores a funciones arbitrarias.

      Una explotación exitosa permitirá la ejecución de código arbitrario.

    Se reportó la vulnerabilidad en la versión 7.0.19.0 y anteriores de Flash Player.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Actualizar a Flash Player 8 (8.0.22.0) o aplicar la actualización a Flash Player 7 (7.0.61.0 o 7.0.60.0).

    escarga de Flash Player 8:
    http://www.macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

    Actualización para Flash Player 7:
    http://www.macromedia.com/go/d9c2fe33

  4. Apéndices

    Mayor información.

    http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html
    http://www.eeye.com/html/research/advisories/AD20051104.html

La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Subdirección de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México 100 años UNAM EQA ISO 27001 FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT