Ejecución local de archivos en Opera e IE con Flash


Macromedia ha realizado una actualización para su popular software Flash Player, que permite que los usuarios que naveguen por Internet, puedan contar con una mayor seguridada la hora de visualizar contenido Flash.





Flash es una técnica creada por Macromedia, que permite dotar a los sitios Web, de una gran capacidad multimedia, en animaciones de muy poco peso, y por lo tanto de carga muy rápida.
Flash Player es un pequeño reproductor que se integra, una vez descargado, con el navegador que lo soporta, dándole la posibilidad de visualizar dichos contenidos.
Un reciente fallo de seguridad descubierto en el Internet Explorer y en el Opera, los dos conocidos navegadores de Internet, permiten el acceso remoto a ciertos archivos locales almacenados en las computadoras de los usuarios.
Un potencial exploit (código que se aprovecha de un fallo del software), puede crear una asociación con los archivos de datos de Flash, para permitir a un usuario malicioso acceder desde Internet, a la información almacenada en el disco duro de la computadora de la víctima.
La nueva versión del Flash Player, almacena los archivos de datos locales de tal manera que los mismos no pueden ser accedidos por aplicaciones maliciosas, sino solo por el propio reproductor. De este modo, las películas en Flash trabajarán correctamente con los datos almacenados en el sistema local, pero no así los programas externos, como los navegadores.
Es importante destacar que el fallo que se menciona, no existe en el reproductor en si mismo, sino que se trata de un modo de actuar con la restricción de las zonas de seguridad, tanto en el Internet Explorer como en el Opera, para acceder a archivos locales.
Un exploit publicado el 24 de octubre de 2003 como demostración del problema, utilizaba una película en Flash (.SWF) para crear un cookie y acceder luego al disco local. La actualización del Flash Player, impide que se pueda utilizar con éxito esta vulnerabilidad, pero correspondería a Microsoft y a Opera Software ASA solucionarlo en sus navegadores, cosa que aún no han hecho (diciembre de 2003).
La nueva versión del Flash Player (7.0.19.0), puede ser descargada de los siguientes enlaces:
[Nota: los enlaces aparecen truncados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea]
* Con identificación automática del navegador:
http://www.macromedia.com/go/getflashplayer_es
* Descarga manual para Internet Explorer:
http://www.macromedia.com/shockwave/download/download.cgi?P1_ Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Vers ion=MSIE&Lang=Spanish&P5_Language=Spanish
* Descarga manual para Opera:
http://www.macromedia.com/shockwave/download/download.cgi?P1_ Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Vers ion=Opera&P5_Language=Spanish&Lang=Spanish
* Más información:

Internet Explorer and Opera local zone restriction bypass
http://www.securityfocus.com/archive/1/342317
Update to Flash Player Addressing Local Shared Object Security
http://www.macromedia.com/devnet/security/security_zone/mpsb03-08.html
fuente:
(c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com

Otras noticias de interés:

Desbordamiento de búfer en JRun
Las versiones para Win32 de JRun 3.0 y 3.1 contienen una vulnerabilidad de desbordamiento de búfer explotable de forma remota que permitirá a un atacante conseguir el control total del servidor. ...
Antivirus y falsos positivos...
A Fred Cohen se le conoce como el padre de los virus informáticos, por ser el primero en acuñar este término en la década de los 80 para describir a estos programas. Además de bautizarlos y analizarlos, en su estudio Computer Viruses - Theory...
DoubleClick multada por violar la privacidad de los internautas en EE.UU.
DoubleClick, empresa de publicidad online, ha llegado a un acuerdo con los 10 estados americanos que la denunciaron por uso indebido de los datos personales de sus usuarios y pagará 450.000 dólares, además que ha anunciado que modificará su polí...
Cómo pasar de MS-Windows a GNU/Linux
En APC han publicado una completa guía en la que analizan cada una de las tareas diarias que un usuario de Windows realiza, y evalúan si esa misma tarea podría realizarse en Linux con mayor o menor eficiencia. El resultado es claro: pásate a Linu...
La seguridad de contraseñas es buena pero...
El nivel de la seguridad con las contraseñas actuales es correcto, pero es necesario mejorar. Los usuarios deben concienciarse del peligro potencial y de las consecuencias cuando la contraseña de seguridad se ve comprometida, según un investigador...
Intentan hackear un millón de veces la web del antiguo KGB
Los responsables del FSB afirman que su web es totalmente segura y no dan importancia a los ataques, la mayoría provocados por jóvenes rusos....
Mejorar la privacidad en Facebook
Con los cambios en el diseño y en algunas políticas de seguridad, la información de los usuarios puede quedar expuesta. Por eso es importante verificar con quien se comparten los datos en la red. ...
Crimen organizado mayor responsable de robo de datos corporativos
Las amenazas internas y la ingeniería social son otros dos factores que marcan las brechas digitales de las empresas según asegura un estudio de Verizon en colaboración el Servicio Secreto de EEUU....
peligroso Virus => W32/Smash
Alias: win95.smash, W95.Smash Tipo: Infector de ejecutables Win32 ...
Hackean la tecnología de streaming de Apple.
El hacker John Le Johansen, popular por haber roto el sistema de encriptación del DVD, vuelve a las andadas. El hacker noruego ha roto el sistema de encriptación "Airport Express", desarrollado por Apple....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • ejecucion
  • exploits
  • fedora
  • fice
  • firefox
  • flash
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • local
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • opera
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra