La
fuga de datos del Hacking Team sigue dando que hablar (y seguirá). La semana
pasada Adobe publicó una actualización (APSB15-16) para
solucionar un 0-day. En los últimos días se han anunciado dos nuevos 0day descubiertos entre la inmensa cantidad de
información filtrada, Adobe ya ha
confirmado que publicará una nueva actualización para solucionarlos.
Después de publicar una
actualización de urgencia (APSA15-03)
para solucionar un primer 0day (con CVE-2015-5119) relacionado con el ataque a
Hacking Team, y de una segunda actualización (APSB15-16)
que además corregía
otras 35 vulnerabilidades; Adobe se ha visto obligada a anunciar (en el aviso APSA15-04) que
durante esta semana publicará una nueva actualización para solucionar otros dos
nuevos 0days encontrados durante los últimos días. 
Como ya anunciamos los "400
gigas de caramelos" iban a aportar un caudal de información que
daría mucho que hablar. En este caso los 0day
anunciados se identifican con los CVE-2015-5122
y CVE-2015-5123.
Ambas están relacionadas con vulnerabilidades por uso después de liberar con la
función ValueOf, en el primer caso a través de los métodos "TextBlock.createTextLine()" y
"TextBlock.recreateTextLine(textLine)",
mientras que el segundo caso afecta a un objeto "BitmapData". En
ambos casos se han encontrado pruebas de concepto que muestran los efectos de
los fallos.
Las vulnerabilidades afectan a las versiones de Adobe Flash
Player 18.0.0.204 (y anteriores) para Windows, Macintosh y Linux. Adobe ha
confirmado los problemas y confirma que durante esta semana publicará una
actualización, considerando que la fuga de datos de Hacking Team está
disponible públicamente, el riesgo aumenta para todos los usuarios. Como
contramedida se recomienda desactivar Adobe Flash Player hasta que la actualización
esté disponible.
Opina sobre esta
noticia:
Security Advisory for Adobe Flash Player
Security updates available for Adobe Flash
Player
Security Advisory for Adobe Flash Player
CVE-2015-5122 - Second Adobe Flash Zero-Day in
HackingTeam Leak
Another Zero-Day Vulnerability Arises from
Hacking Team Data Leak
New Zero-Day Vulnerability (CVE-2015-5123) in
Adobe Flash Emerges from Hacking Team Leak
una-al-dia (08/07/2015) Sombreros
verdes y 400 gigas de caramelos
una-al-dia (10/07/2015)
Actualización para Adobe Flash Player
Antonio Ropero
Twitter: @aropero
