Fecha de publicación:12 de septiembre de 2006
Identificador de deficiencia: APSB06-11
Número CVE: CVE-2006-3014, CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640
Plataforma: Todas las plataformas
Se han identificado deficiencias graves en Flash Player 8.0.24.0 y sus versiones anteriores que podrían permitir que un intruso que las supiera utilizar se hiciera con el control del sistema afectado. El usuario final debe cargar un archivo SWF dañino en Flash Player para que un intruso se aproveche estas deficiencias. Se recomienda a los usuarios actualizar a la última versión de Flash Player que esté disponible para su plataforma.
Adobe recomienda a todos los usuarios de Flash Player 8.0.24.0 y sus versiones anteriores actualizar a la versión nueva 9.0.16.0, descargándola del Centro de descargas de Flash Player*, o mediante el mecanismo de actualización automática del producto cuando se les solicite.
Los clientes que no puedan actualizar a Flash Player 9 deberán consultar las Notas técnicas de actualización de Flash Player*.
Adobe proporciona una licencia gratuita para la redistribución de Flash Player en la intranet de las empresas o con otros productos de software y servicios. Para obtener más información y solicitar una licencia, utilice la solicitud en línea*.
Si no puede seguir los consejos de Adobe en las Notas técnicas de actualización de Flash Player* o no puede instalarse una versión más reciente de Flash Player, póngase en contacto con el equipo de seguridad de Adobe en la dirección de correo electrónico PSIRT@adobe.com para recibir asistencia para la actualización.
Adobe Flash Player 8.0.24 y versiones anteriores
Para verificar el número de versión de Flash Player, acceda a la página Acerca de Adobe Flash Player o haga clic con el botón secundario del ratón en el contenido Flash y seleccione "Acerca de Macromedia Flash Player" desde el menú. Si utiliza varios exploradores, realice la comprobación e instalación para cada uno de ellos.
Adobe la define como una actualización* fundamental y recomienda a los usuarios afectados que se actualicen a la versión 9.0.16.0.
Se han identificado varios errores de validación de entradas en Flash Player 8.0.24.0 y versiones anteriores que podrían derivar en la ejecución de código arbitrario. Se podría acceder a estas deficiencias a través del contenido suministrado desde una ubicación remota a través del explorador web del usuario, el correo electrónico del cliente u otras aplicaciones que incluyen o hacen referencia a Flash Player. (CVE-2006-3311, CVE-2006-3587, CVE-2006-3588)
Estas actualizaciones incluyen cambios para evitar la elusión de la opción “allowScriptAccess”. (CVE-2006-4640)
Las actualizaciones también incluyen cambios en el modo en que Flash Player 7 y Flash Player 8 ActiveX controlan los comportamientos cuando son solicitados por los productos de Microsoft Office en la plataforma de Windows. Estos cambios son similares a los introducidos en Flash Player 9. (CVE-2006-3014)
La actualización de Flash Player 8 (8.0.33.0) y Flash Player 7 (7.0.66.0 o 7.0.68.0) están dirigidas a las deficiencias de seguridad en versiones anteriores de Flash Player. Las versiones actualizadas de Flash Player 7 para Linux y Solaris, que contienen soluciones para estas vulnerabilidades, también están disponibles en el centro de descargas de Adobe Player*.
| Software afectado | Actualización recomendada del reproductor | Disponibilidad |
|---|---|---|
| Flash Player 8.0.24.0 y versiones anteriores | 8.0.33.0, 7.0.68.0 o 7.0.66.0 | Centro de descargas de Flash Player* |
| Flash Player 8.0.24.0 y versiones anteriores: distribución en red | 8.0.33.0, 7.0.68.0, o 7.0.66.0 | Licencia de Flash Player* |
| Flash Professional 8, Flash Basic | 8.0.33.0 | Actualización de Flash Player 8 para Flash Basic 8 y Flash Professional 8* |
| Flash MX 2004 | 7.0.68.0 | Actualización de Flash Player 7 para Flash MX 2004 y MX Professional 2004* |
| Flex 1.5 | 7.0.65.0 | Instalador de actualizaciones de Flash Player* |
Adobe desea agradecer a Stuart Pearson de la empresa Computer Terrorism (Reino Unido) Ltd.* por informar acerca de las deficiencias (CVE-2006-3311) anteriores al lanzamiento final de Flash Player 9 y por trabajar con nosotros para ayudar a proteger la seguridad de nuestros clientes.
Al utilizar el software de Adobe Systems Incorporated o sus filiales ("Adobe"); usted acepta los siguientes términos y condiciones. Si no está de acuerdo con los siguientes términos y condiciones, no utilice el software. Los términos de un acuerdo de licencia de usuario final que acompañan a un archivo de software concreto después de la instalación o descarga del software sustituirán a los términos presentados a continuación.
La exportación y reexportación de productos de software Adobe están controladas por las leyes de exportación de Estados Unidos y dicho software no debe exportarse ni reexportarse a Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria, o cualquier país al que Estados Unidos someta a embargo. Además, el software Adobe no debe distribuirse entre personas de la tabla de denegación de pedidos, la lista de entidades o la lista de ciudadanos designados especialmente.
Al descargar o utilizar un producto de software de Adobe, usted certifica que no es ciudadano de Cuba, Irán, Iraq, Libia, Corea del Norte, Sudán, Siria o cualquier país al que Estados Unidos someta a embargo y que no es una de las personas de la tabla de pedidos de denegación, la lista de entidades o la lista de ciudadanos designados especialmente.
Si el software está diseñado para utilizarlo con un producto de software de una aplicación (la "aplicación del host") publicado por Adobe, Adobe le garantiza una licencia no exclusiva para utilizar dicho software sólo con la aplicación del host, siempre que posea una licencia válida de Adobe para la aplicación del host. Excepto si, como se establece a continuación, se le otorga la licencia de dicho software según los términos y condiciones del Acuerdo de licencia de usuario final de Adobe que rigen el uso de la aplicación del host.
RENUNCIA A LAS GARANTÍAS:USTED ACEPTA QUE ADOBE NO LE HA CONCEDIDO NINGUNA GARANTÍA EXPRESA CON RESPECTO AL SOFTWARE Y QUE SE LE PROPORCIONA EL SOFTWARE "TAL COMO ES" SIN GARANTÍAS DE NINGUNA CLASE. ADOBE NIEGA TODA GARANTÍA CON RESPECTO AL SOFTWARE, EXPRESA O IMPLÍCITA, INCLUYENDO, SIN LIMITACIONES, CUALQUIER GARANTÍA IMPLÍCITA DE ADECUACIÓN A UN FIN CONCRETO, LA COMERCIABILIDAD, LA CALIDAD DE COMERCIABILIDAD O LA NO VIOLACIÓN DE DERECHOS DE TERCEROS. Algunos estados o jurisdicciones no permiten la exclusión de garantías implícitas, por lo que es posible que las limitaciones anteriores no sean aplicables a usted.
LIMITACIÓN DE RESPONSABILIDAD:EN NINGÚN CASO ADOBE SE HARÁ RESPONSABLE DE UNA PÉRDIDA DE USO, INTERRUPCIÓN DEL NEGOCIO, O CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, ACCIDENTAL O CONSECUENTE DE NINGUNA CLASE (INCLUIDA LA PÉRDIDA DE BENEFICIOS), LA ESTRICTA RESPONSABILIDAD DEL PRODUCTO U OTROS, INCLUSO SI ADOBE FUE AVISADO DE LA POSIBILIDAD DE DICHOS DAÑOS. Algunos estados o jurisdicciones no permiten la exclusión o limitación de daños accidentales o consecuentes, por lo que es posible que las limitaciones o exclusiones anteriores no sean aplicables a usted.
