Ejecución local de archivos en Opera e IE con Flash


Macromedia ha realizado una actualización para su popular software Flash Player, que permite que los usuarios que naveguen por Internet, puedan contar con una mayor seguridada la hora de visualizar contenido Flash.





Flash es una técnica creada por Macromedia, que permite dotar a los sitios Web, de una gran capacidad multimedia, en animaciones de muy poco peso, y por lo tanto de carga muy rápida.
Flash Player es un pequeño reproductor que se integra, una vez descargado, con el navegador que lo soporta, dándole la posibilidad de visualizar dichos contenidos.
Un reciente fallo de seguridad descubierto en el Internet Explorer y en el Opera, los dos conocidos navegadores de Internet, permiten el acceso remoto a ciertos archivos locales almacenados en las computadoras de los usuarios.
Un potencial exploit (código que se aprovecha de un fallo del software), puede crear una asociación con los archivos de datos de Flash, para permitir a un usuario malicioso acceder desde Internet, a la información almacenada en el disco duro de la computadora de la víctima.
La nueva versión del Flash Player, almacena los archivos de datos locales de tal manera que los mismos no pueden ser accedidos por aplicaciones maliciosas, sino solo por el propio reproductor. De este modo, las películas en Flash trabajarán correctamente con los datos almacenados en el sistema local, pero no así los programas externos, como los navegadores.
Es importante destacar que el fallo que se menciona, no existe en el reproductor en si mismo, sino que se trata de un modo de actuar con la restricción de las zonas de seguridad, tanto en el Internet Explorer como en el Opera, para acceder a archivos locales.
Un exploit publicado el 24 de octubre de 2003 como demostración del problema, utilizaba una película en Flash (.SWF) para crear un cookie y acceder luego al disco local. La actualización del Flash Player, impide que se pueda utilizar con éxito esta vulnerabilidad, pero correspondería a Microsoft y a Opera Software ASA solucionarlo en sus navegadores, cosa que aún no han hecho (diciembre de 2003).
La nueva versión del Flash Player (7.0.19.0), puede ser descargada de los siguientes enlaces:
[Nota: los enlaces aparecen truncados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea]
* Con identificación automática del navegador:
http://www.macromedia.com/go/getflashplayer_es
* Descarga manual para Internet Explorer:
http://www.macromedia.com/shockwave/download/download.cgi?P1_ Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Vers ion=MSIE&Lang=Spanish&P5_Language=Spanish
* Descarga manual para Opera:
http://www.macromedia.com/shockwave/download/download.cgi?P1_ Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Vers ion=Opera&P5_Language=Spanish&Lang=Spanish
* Más información:

Internet Explorer and Opera local zone restriction bypass
http://www.securityfocus.com/archive/1/342317
Update to Flash Player Addressing Local Shared Object Security
http://www.macromedia.com/devnet/security/security_zone/mpsb03-08.html
fuente:
(c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com

Otras noticias de interés:

Actualización del kernel para SuSE Linux Enterprise 11
SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 11 SP1 en la que se corrigen tres vulnerabilidades de escalada de privilegios. ...
RealPlayer puede permitir la ejecución de código
eEye Digital Security ha reportado una vulnerabilidad en las instalaciones por defecto del software de RealNetworks conocido como RealPlayer. Según eEye, el fallo detectado es de una gravedad muy alta, aunque no se especifican detalles del...
EEUU plantea nuevas leyes para prevenir agujeros de datos
Las recientes brechas de datos sufridas por el servicio PlayStation de Sony y por el proveedor de servicios de correo electrónico Epsilon, han llevado a Estados Unidos a plantearse desarrollar una nueva legislación con el fin de mejorar la ciberseg...
El SP2, esa falsa sensación de seguridad
Las noticias sobre el reciente lanzamiento del tan mentado Service Pack 2 de Windows XP, se han sucedido a un ritmo tan frenético y desbocado, que cualquier cosa que ponga SP2 en el título, atrapa el interés de miles de lectores. Y últimamente,...
Los programadores informáticos son más peligrosos que los hackers
El lunes es el día negro de los administradores de sistemas y expertos de seguridad del Reino Unido, según se desprende de un estudio realizado por la firma Attenda. Esta analizo el tráfico y los datos de los setenta mayores sitios del Reino Unido...
Los sistemas operativos ya son historia, según el CEO de VMware
En un discurso durante la conferencia VMworld (Las Vegas, Estados Unidos), el CEO y presidente de VMware, Paul Maritz, aseguró ayer que los sistemas operativos tal como han sido entendidos hasta ahora han pasado a la historia. Se encuentran, según ...
Mejoras de privacidad y seguridad en apps de Facebook
La mayoría de las veces, cuando alguien me pregunta que es lo peor de las redes sociales, le digo que el único problema que le encuentro, y tiene solución, es el de la privacidad y la seguridad de los datos. Y eso no significa que diga que por ell...
Boletín Microsoft de abril trae ocho actualizaciones
Microsoft a publicado su boletín de seguridad de abril. En este se informa de ocho parches destinados a corregir vulnerabilidades y problemas de seguridad....
La Web 2.0 reduce considerablemente la seguridad
Según una encuesta de Check Point en colaboración con el Instituto Ponemon, el 82 por ciento de los CISOs consideran que el uso de redes sociales, aplicaciones de Internet y reproductores dentro de las empresas reducen en demasía la seguridad de s...
Facebook expone datos de los usuarios, aunque perfil sea privado
Siguen encontrandose problemas de privacidad en Facebook. Un bug permite acceder a nombre completo y fotografía de perfil con solo introducir la dirección de correo del propietario....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • flash
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • local
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • opera
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra