Fecha de publicación:05 de noviembre de 2008
Identificador de vulnerabilidad: APSB08-20
Número CVE: CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823
Plataforma: Todas las plataformas
Se han identificado posibles vulnerabilidades en Adobe Flash Player 9.0.124.0 y sus versiones anteriores que podrían permitir que un intruso que las supiera utilizar se hiciera con el control de seguridad de Flash Player. Adobe recomienda a los usuarios que se actualicen a la última versión de Flash Player que esté disponible para su plataforma. No es necesaria ninguna acción por parte de los clientes que ya han actualizado a Flash Player 10.0.12.36. La actualización de Flash Player 9.0.151.0 trata los problemas registrados previamente en el boletín de seguridad APSB08-18* y los problemas registrados en el boletín de seguridad APSB08-22 *además de los problemas señalados en este boletín de seguridad.
17 de noviembre de 2008: Boletín actualizado con información sobre la actualización de AIR 1.5* y el boletín de seguridad APSB08-22 *
05 de noviembre de 2008: Fecha de creación del boletín
Adobe Flash Player 9.0.124.0 y versiones anteriores.
Para verificar el número de versión de Adobe Flash Player, acceda a la página Acerca de Flash Player* o haga clic con el botón secundario del ratón en el contenido Flash y seleccione "Acerca de Adobe (o Macromedia) Flash Player" en el menú. Si utiliza varios exploradores, realice la comprobación para cada explorador instalado en su sistema.
Adobe recomienda a todos los usuarios de Adobe Flash Player 9.0.124.0 y sus versiones anteriores actualizar a la versión nueva 10.0.12.36, descargándola del Centro de descargas de Flash Player, o mediante el mecanismo de actualización automática del producto cuando se les solicite.
Para los usuarios que no puedan actualizar a Flash Player 10, Adobe ha desarrollado una versión de parches de Flash Player 9, Flash Player 9.0.151.0, la cual se puede descargar desde el siguiente vínculo*.
Adobe lo define como una actualización fundamental debido a los problemas que ya se han señalado en el boletín de seguridad APSB08-18* y recomienda a los usuarios afectados que actualicen a la versión 10.0.12.36.
Además de los problemas registrados en el boletín de seguridad APSB08-18 y en el boletín de seguridad APSB08-22.*, las actualizaciones de Flash Player 10.0.12.36 y Flash Player 9.0.151.0 tratan los problemas que se señalan más adelante.
Esta actualización incluye un cambio en el modo en el que Flash Player interpreta los encabezados de respuesta HTTP para prevenir un posible ataque de secuencias de comandos entre sitios. (CVE-2008-4818)
Esta actualización incluye un cambio para mitigar un posible problema que pudiera ayudar a un intruso a acometer un ataque de revinculación DNS (DNS rebinding). (CVE-2008-4819)
Esta actualización incluye una interpretación más estricta de un atributo de ActionScipt para prevenir un posible problema de introducción de HTML. (CVE-2008-4823)
Esta actualización evita un problema de interpretación de archivos de política que podrían dar lugar a que se ignorara una política de dominio sin origen. (CVE-2008-4822)
Esta actualización evita un problema con la interpretación del protocolo jar de Flash Player en los exploradores Mozilla que podría dar lugar a una divulgación de información. (CVE-2008-4821)
Esta actualización evita un posible problema de divulgación de información única de Windows en el control ActiveX de Flash Player. (CVE-2008-4820)
Software afectado |
Actualización recomendada del reproductor |
Disponibilidad |
Flash Player 9.0.124.0 y versiones anteriores |
10.0.12.36 |
|
Flash Player 9.0.124.0 y versiones anteriores: distribución en red |
10.0.12.36 |
|
Flash Player 9.0.124.0 y versiones anteriores para Linux |
10.0.12.36 |
|
AIR 1.1 |
AIR 1.5 |
|
Flash CS4 Professional |
10.0.12.36 |
Actualización de Adobe Flash Player 10 para Flash CS4 Professional* |
Flex 3 |
10.0.12.36 |
Adobe desea dar las gracias a los siguientes usuarios y organizaciones por informar sobre estos problemas importantes, así como por su colaboración con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
