CSIRT Panamá Aviso 2015-07- Vulnerabilidad en la Implementación ByteArray de ActionScript 3 en Adobe Flash Player (CVE-2015-5119)
Gravedad: ALTA
Fecha de publicación: Julio, 2015
Fecha de modificación: Julio, 2015
Última revisión: Revisión A.
I. Sistemas Afectados
• Adobe Flash Player 18.0.0.194 y versiones anteriores para Windows y Macintosh
• Adobe Flash Player 11.2.202.468 y versiones anteriores a 11.x para sistemas basados en GNU/Linux
• Adobe Flash Player Extended Support Release version 13.0.0.296 y versiones anteriores a 13.x
II. Descripción
Se ha reportado una vulnerabilidad en la clase ByteArray de ActionScript 3 que permite a un atacante ejecutar remotamente código arbitrario sin ningún tipo de autenticación previa al equipo atacado [1]; a través de un ataque de corrupción de memoria. Según la documentación de la clase ByteArray [2], se encarga de proveer métodos y propiedades que optimizan la lectura, escritura y el manejo de datos binarios. Es importante señalar que se ha publicado el código fuente que explota esta vulnerabilidad. La numeración CVE para esta vulnerabilidad es: CVE-2015-5119 [3].
Este tipo de ataque es ejecutado a través de la interacción que usuario final pueda tener con un sitio web que contiene un contenido Flash creado con malas intenciones o al abrir un documento de Microsoft Office especialmente diseñado para explotar esta vulnerabilidad [4].
III. Impacto
Vector de acceso: A través de red.
Complejidad de Acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto:
Compromiso total de la integridad del sistema,
Compromiso total de la disponibilidad del sistema,
Compromiso total de la confidencialidad del sistema
IV. Detección
• Verifique la versión de Adobe Flash Player que utilizan sus usuarios.
V. Mitigación
• Actualizar el software
Se recomienda actualizar su versión del software en caso tal sea necesario.
Para mayor información por favor lea el boletín de seguridad publicado por Adobe [5]
• No ejecute contenido Flash que no sea de confianza
Además, usted puede deshabilitar Flash totalmente de su explorador de Internet o activar opciones como “Ejecución bajo demanda” (Click-To-Play) con el fin de protegerse ante nuevas amenazas.
VI. Información Adicional
[1] http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-player-flaws-more-pocs-found-in-hacking-team-leak/
[2] http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/utils/ByteArray.html
[3] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5119
[4] http://www.kb.cert.org/vuls/id/561288
[5] https://helpx.adobe.com/security/products/flash-player/apsa15-03.html