Adobe parchea una de las dos vulnerabilidades Día Cero de Flash que se están explotando
Los usuarios de Internet Explorer y Firefox con Flash Player siguen estando en riesgo de verse afectados por una vulnerabilidad Día Cero que aún no ha sido parcheada.
Son días de nervios y prisas en el sector después de que un conocido experto de seguridad que se hace llamar Kafeine descubriera que se está explotando un fallo Día Cero en Flash Player y publicara los detalles de su investigación.
Que la vulnerabilidad sea de Día Cero significa que el responsable del software afectado aún no tiene un parche y por tanto poco se puede hacer salvo dejar de utilizar el programa afectado. Pero hoy sabemos que Adobe ha lanzado un parche de emergencia para una vulnerabilidad que está siendo explotada activamente por los atacantes, aunque aún quedaría otro fallo, también explotado, por reparar.
Adobe Systems ha lanzado Flash Player 16.0.0.287 para Windows y Mac, Flash Player 11.2.202.438 para Linux, y Flash Player Extended Support Release 13.0.0.262. En su boletín de seguridad la compañía se refiere a la existencia del exploit CVE-2015-0310 y reconoce que se está utilizando en ataques contra viejas versiones de Flash Player; “adicionalmente, estamos investigando informes que de otro exploit para Flash Player 16.0.0.287 y anteriores”, que es el descubierto por el Kafeine y que sigue sin ser parcheado.
El investigador de seguridad explicaba que se está utilizando el kit de exploits Angler para explotar la vulnerabilidad e infectar con malware los equipos afectados.