Security Update para Adobe Shockwave Player

Adobe ha publicado una actualización para tratar las vulnerabilidades que afecta a su producto  Shockwave Player . Estas vulnerabilidades afectan a Adobe Shockwave Player 11.5.2.602 y las versiones anteriores de Windows y Macintosh.

La explotación de estas vulnerabilidades podrían permitir a un atacante ejecutar código arbitrario.

Se recomienda a los usuarios y administradores revisar el boletín de seguridad de Adobe APSB10-03 y aplicar las actualizaciones necesarias para ayudar a mitigar los riesgos.

Release date: January 19, 2010

ADOBE Security update available for Shockwave Player

Vulnerabilidad.

fuente: adobe.com | us-cert.org

Adobe y sus 29 actualizaciones de Seguridad.

Adobe entra de lleno en el mundo de las actualizaciones de seguridad programadas solucionando en este ciclo nada menos que 29 problemas de seguridad en su software más popular: los lectores y editores de PDF Adobe Reader y Acrobat. Rivaliza con Microsoft, que en este ciclo ha resuelto también 34 fallos.

Los administradores de sistemas deben andar todavía ocupados intentando actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un comunicado por el que se comprometía a mejorar su política de seguridad. Básicamente, decía que mejoraría el código de desarrollo centrándose en la seguridad, que mejoraría los procesos de respuesta a incidentes, y que programaría regularmente las actualizaciones de sus productos. En concreto, cada tres meses, lo segundos martes de cada mes. Con un criterio discutible, coincidiría con los días de actualización que hace años eligió Microsoft.

Estas promesas recuerdan inevitablemente a la Trustworthy Computing que Microsoft tuvo que implantar a principios de 2002 (a través de un comunicado del propio Bill Gates) para intentar encarar los continuos reveses en seguridad que sufría. Se puso en marcha la Strategic Technology Protection Program (STPP) que más tarde daría sus frutos en proyectos que se han demostrado eficaces como el Windows Software Update Services, Microsoft Operations Manager, la política de actualización periódica, sistemas fortificados “por defecto”, etc. Aun así lo peor estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la “prehistoria”, y los esfuerzos de Microsoft comenzaron a dar resultados años después.

Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que estaba siendo aprovechada por atacantes desde hace semanas, y que permitía la ejecución de código arbitrario a través de archivos PDF especialmente manipulados. El mismo día Microsoft corregía 34, pero en una mucha mayor gama de productos.

Adobe comienza así a mejorar su seguridad, siete años más tarde que Microsoft (que aún lo está adaptando y asumiendo)… De hecho, ya se empieza a conocer a Adobe como “la nueva Microsoft”, heredando sus problemas logísticos a la hora de mejorar la seguridad, teniendo que rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe se toma en serio su seguridad, esperamos que no sean necesarios tantos años para, como le está costando a Microsoft, materializar los resultados, puesto que el mundo del malware no es el mismo que en 2002, y las consecuencias de los problemas de seguridad de hoy son mucho más serias.

Adobe Reader and Acrobat Security Initiative

Security Updates Available for Adobe Reader and Acrobat

fuente: hispasec.com

Adobe curita

NUEVAS VULNERABILIDADES, que afectan Adobe Reader y Acrobat

Multiples vulnerabilidades que afectan tanto a Adobe Reader como Acrobar. Estas vulnerabilidades podrían causar que la aplicación se bloquee y, potencialmente, podría permitir a un atacante tomar el control del sistema afectado
Published:       Oct 13 2009
Updated:          Oct 13 2009

fuente: securityfocus.com

adobe

NUEVA VULNERABILIDAD, Adobe Acrobat Reader Remote Code Execution Vulnerability

Adobe Acrobat Reader is prone to a remote code-execution vulnerability.

An attacker can exploit this issue by supplying a malicious PDF file. Successful exploits may allow the attacker to execute arbitrary code in the context of a user running the affected application. Failed attempts will likely result in denial-of-service conditions.

Published:     Oct 08 2009 12:00AM
Updated:        Oct 08 2009 11:59PM

Adobe Reader and Acrobat Advance Notification Multiple Unspecified Security Vulnerabilities

REFERENCIA DE LA VULNERABILIDAD

Security Advisory for Adobe Reader and Acrobat (Adobe)

fuente: securityfocus.com

adobe

¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes “perciben” el peligro de utilizar ese software. Se ha realizado un estudio sobre 449 vulnerabilidades con la intención de representar y comparar algunas cifras al respecto.

Existen dos escenarios muy diferentes a la hora de solucionar una vulnerabilidad: que sea conocida públicamente, o que no. Esto es determinante para los grandes fabricantes. En el segundo caso, el ritmo de solución es muy distinto al segundo. Su imagen no está en entredicho, los clientes no se sienten en peligro… pueden tomarse la solución con más calma, y centrarse en asuntos mucho más urgentes (que seguro que existen). Cuánto tardan los grandes fabricantes en solucionar una vulnerabilidad cuando no sufren la presión de los medios, cuando la vulnerabilidad es solo conocida por ellos y quien la ha descubierto. Cómo reaccionan ante esta situación “ideal” (desde su punto de vista), en la que la vulnerabilidad les ha sido comunicada en secreto, y ambas partes acuerdan no hacerlo público hasta que exista una solución.

Este es un escenario relativamente sencillo de evaluar, puesto que podemos tomar la fecha en la que el fabricante fue informado como inicio del contador, y la fecha en la que se publica una solución como final. El tiempo que haya transcurrido nos permitirá saber de forma precisa cuánto tardan los fabricantes en solucionar una vulnerabilidad que no es pública. Los fabricantes estudiados son HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun.

Algunas de las conclusiones del estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad crítica es solucionada un año después de ser descubierta, y otros en los que se tardan apenas unos días.

DESCARGAR iNFORME, Estudio de Vulnerabilidades.pdf

VER Mejores Practicas para el manejo de Vulnerabilidades.

fuente: hispasec.com

Peligro2-np

NUEVA VULNERABILIDAD. Adobe Flash Player Active Template Library Remote Code Execution Vulnerability

Adobe Flash Player is prone to a remote code-execution vulnerability because it was compiled against the Microsoft Active Template Library (ATL).

Remote attackers can exploit this issue to execute arbitrary code with the privileges of the user running the affected application. Failed exploit attempts will likely result in a denial-of-service condition.

This issue is caused by the vulnerabilities described in Microsoft security advisory 973882 and is related to the following BIDs:

35828 Microsoft Visual Studio Active Template Library COM Object Remote Code Execution Vulnerability
35830 Microsoft Visual Studio Active Template Library NULL String Information Disclosure Vulnerability
35832 Microsoft Visual Studio ATL ‘VariantClear()’ Remote Code Execution Vulnerability

Published:   Jul 28 2009
Updated:      Jul 28 2009

REFERENCIA DE LA VULNERABILIDAD

REFERENCIA ADOBE

fuente: securityfocus.com

adobe flash player

Adobe distribuye una versión vulnerable desde su página oficial

Desde la página oficial de Adobe “Get Reader” los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector.

Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.

Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.

Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.

Esta actitud solo sería “permisible” cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.

No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.

fuente: hispasec.com

adobe