Adobe ha publicado actualizaciones de seguridad para Adobe Flash Player para Windows, macOS, Linux y Chrome OS. Estas actualizaciones remedian una vulnerabilidad crítica en Adobe Flash Player registrada bajo el ID CVE-2020-9746. La explotación exitosa podría permitir la ejecución de código arbitrario en el contexto del usuario actual.
La vulnerabilidad existe debido a un error de desreferencia del puntero NULL al procesar contenido .SWF. Un atacante remoto puede crear un archivo .swf especialmente diseñado, engañar a la víctima para que lo reproduzca, desencadenar un error de desreferencia del puntero NULL y ejecutar código arbitrario en el sistema.
Adobe Flash suele ser uno de los objetivos favoritos de los ciberataques, en particular para los kits de explotación, los ataques de día cero y los esquemas de phishing.
Los productos afectados son las versiones 32.0.0.433 y anteriores de Adobe Flash Desktop Runtime (para Windows, macOS y Linux); Adobe Flash Player para Google Chrome (Windows, macOS, Linux y Chrome OS) y Adobe Flash Player para Microsoft Edge e Internet Explorer 11 (Windows 10 y 8.1).
Investigadores indicaron que “Para las organizaciones que no pueden eliminar Adobe Flash debido a una función crítica para el negocio, se recomienda mitigar el potencial de amenaza de estas vulnerabilidades evitando que Adobe Flash Player se ejecute por completo a través de la función killbit, establezca una política de grupo para desactivar la creación de instancias de Flash objetos, o limitar la configuración del centro de confianza que solicita elementos de secuencias de comandos activos”.
Se recomienda a los usuarios instalar las actualizaciones de los productos afectados a la última versión disponible 32.0.0.445 y seguir las instrucciones a las que se hace referencia en el boletín de Adobe. Como buena práctica de seguridad, se recomienda la remediación de los vectores de amenazas recurrentes o comúnmente explotables.
Referencias: