Esto ya parece una broma, pero no lo es. Hace apenas 6 días se encontraba una vulnerabilidad 0-day en Acrobat y Reader. Hoy se encuentra otra en el mismo software y además en Flash, para cualquier SO en el que esté instalado.
La vulnerabilidad puede producir un fallo en el sistema operativo, y podría permitir a un atacante hacerse con el control del sistema. Afecta a todas las versiones de Flash en cualquier sistema operativo, incluido Android, y a las de Acrobat y Reader 9.3.4 y anteriores para Windows, Mac y Unix. Más que un agujero de seguridad, parece un boquete del tamaño de la Tierra.
Esta vulnerabilidad ya se está explotando activamente en Flash para Windows. Adobe planea lanzar un parche para todas las versiones de Flash la última semana de septiembre, y los de Acrobat y Reader estarían la primera semana de octubre.
Creo que esto ya es pasarse completamente de la raya. Ya no es un fallo, ya no es dejadez de Adobe, ya es una completa irresponsabilidad. Es la quinta vulnerabilidad grave, y estos son productos usados por muchísima gente, entre los que se encuentran administraciones y empresas. Adobe debería de tener más cuidado con sus productos, esto no debería pasar en ningún fabricante de software.
¿Quién puede confiar ahora en Adobe? A mí, desde luego, no me va a resultar fácil instalar ningún producto de esta compañía sin pensar que más pronto que tarde aparecerá una (si no más) vulnerabilidad grave explotada.
Vía | Seguridad Apple
Más información | Boletín de seguridad de Adobe
Imagen | Hans Gerwit
En Genbeta | Lectores de PDF alternativos a Adobe Reader
Comentarios
Perdona Guillermo, sabes si también afecta en concreto a la suite CS2???
Porque de ser así vaya varapalo, a ver que alternativas se pueden usar en su lugar...
Gracias y un saludo...
interesante
Por lo que dice en el boletín, sólo afecta a Flash, Acrobat y Reader, así que no creo que esté afectado ni PS, ni Illustrator, ni ningún otro programa de la Creative Suite.
Gracias por la información...
algun programa alternativa para flash???
Se están cubriendo de gloria. Entre lo de que no se quiere a flash para los vídeos y ahora esta oleadas de, perdón, cagadas...
interesante
Se están cubriendo de mierda!
5 Comentario moderado
80Flash desaparecerá cuando sepan o saquen partido a poner publicidad en HTML5, hasta entonces, lento lento... es lo que tiene el mercado, se mueve por dinero.
Ayer reinstalé mis tres sistemas operativos (OSX, Windows y Ubuntu 10.04) y con Chrome es un acierto que venga incorporado Flash, gracias a su tecnología sand box, el equipo queda a salvo de deshonrosas intenciones.
Pues vaya tela...
A ver si empiezan a espavilar un poco y a programar con un poco de seriedad, si almenos hubiera alternativas...
PS: Luego a mi me ponian mal Karma si me quejava ¬¬
Yo te pongo mal karma pero porque no sabes escribir, no hay más.
no es facil escribir a la perfeccion mezclando 2 idiomas maternos, almenos lo intento, ponle mal karma a otros que esto no viene a cuento.
brillante
Honestamente no estoy de acuerdo con el tono mega indignado del post.
Vale. Flash tiene un fallo y gordo. De hecho estoy de acuerdo es que flash es una mierda bastante gorda.
Pero no nos equivoquemos. TODO EL SOFTWARE DEL MUNDO TIENE FALLOS. Pero aquel software que está mas extendido es el más analizado para tratar de explotarlo ya que el conseguirlo significa mayor número de víctimas potenciales.
Hace unos años, cuando Windows era el S.O. del 99.9% de los ordenadores del mundo todos los ataques se dirigían a él. Ahora parece que flash es la constante en todas las máquinas del mundo (incluidos móviles) y es un objetivo más atractivo para los explotadores de fallos...
Pero el que crea (y se que abundan) que esto no pasa en otros desarrollos... pobres ilusos.
Pero volviendo al motivo del comentario. Lo adecuado en este tipo de noticias es dar la mayor información posible y los mejores consejos para evitar ataques hasta que la solución oficial esté lista. En este caso yo recomendaría (igual que siempre) mantenerse lejos de webs que no sean de confianza y no abrir ficheros adjuntos de correo con contenido flash aunque provengan de algún conocido...
Hacer leña del software atacado es amarillismo fácil y sin más miras que conseguir hits debidos al pánico o al sentimiento común de los contrarios al software en cuestión.
Efectivamente, todo el software del mundo tiene fallos. Pero Adobe es una empresa muy grande, con muchísimos ingenieros, y su software debería pasar unos controles para evitar estas cosas.
Y cuando dices que todos los ataques iban dirigidos a Windows, tienes razón. Virus, troyanos, gusanos, todos a Windows. Pero, que yo sepa, Windows nunca batió el record de 5 vulnerabilidades graves en un año, que pueden permitir a un atacante hacerse con el control de sistema, y con varias de ellas de tipo 0-day (ya explotadas cuando se descubren).
No es lo mismo que lancen software malicioso para intentar abrirse paso en un sistema, a que el sistema tenga varios agujeros que permitan la entrada del software malicioso.
Por poner un ejemplo, Adobe Reader puede ejecutar JavaScript en los PDF. Puede que alguien sustituya un PDF normal con otro con código JS malicioso, que se transmitiese como un gusano, o que pidiese al usuario introducir ciertos datos. Eso no es culpa de Adobe, porque no puede evitar este tipo de ataques, basados en su plataforma. Lo que sí es responsabilidad de Adobe es un ataque hacia su plataforma, facilitado por un bug grave que se les coló.
Y en cuanto a lo del amarillismo, siento si te parece que escribo la entrada con esta intención, nada más lejos de la realidad. Yo escribo aquí porque me gusta, y no con la intención de tener muchas páginas vistas en los posts.
interesante
Si y no Una cosa es la cantidad de ataques y otra muy distinta la cantidad de ataques que tienen éxito. Existen más virus para Windows que para los derivados de unix porque es más popular pero también el porcentaje de ataques exitosos por sobre el total de ataques es mayor por deficiencias en el diseño Hace poco lo explicó muy bien MIGUEL DE ICAZA http://tirania.org/blog/archive/2010/Jun-28.html Seguramente hay muchos intentos de encontrar vulnerabilidades contra MICROSOFT OFFICE o AUTOCAD o cualquier otro software popular que se te ocurran. Pero no hay tantos hallazgos como con Adobe
interesante
"TODO EL SOFTWARE DEL MUNDO TIENE FALLOS. Pero aquel software que está mas extendido es el más analizado para tratar de explotarlo ya que el conseguirlo significa mayor número de víctimas potenciales." He escuchado esto en infinitad de ocasiones y no puedo estar más en desacuerdo. Repetiré lo que digo siempre en estos casos: los fallos ( explotables o no ) que se encuentran en el software NO son proporcionales al número de personas que usan dicho software. Si el software está bien diseñado NO contendrá fallos y por lo tanto dará igual el número de personas que lo usen. Más claro, agua.
Mas unazo a lo de Jesús López. Amarillismo puro y duro.
Tu tienes tu teoria pero... si deseas hacer explotar una bomba de agua para mojar a la mayor cantidad de personas posibles, te sería más facil ponerla en el Sahara que en el centro de Tokio, pero.... realmente tendría sentido gastar tiempo y recursos en el sahara?
interesante
Claaro, mirá vos. Microsoft también es una empresa muy grande con muchísimos ingenieros y sin embargo salió Windows Vista...así como Apple, famosa por el perfeccionismo de Jobs, sacó un celular que se te cortaba la llamada, y para solucionarlo, te regalaban una funda gratis (?).
Si, me parece amarillista tu comentario.
Y aquí hay gato encerrado....presiento que en poco tiempo veremos un cambio grande.
-- editado por última vez a las 17:51
interesante
Windows Vista me parece de los peores sistemas operativos que ha hecho Microsoft. A pesar de eso, de las 207 vulnerabilidades, sólo el 2% son "Extremely Critical", es decir, 0day. Sin embargo, en Adobe Reader se disparan al 58%, de 121 vulnerabilidades.
En cuanto a lo de la antena del iPhone, cada uno tiene sus impresiones, aunque por lo visto el problema de la antena se exageró un poco.
No estoy defendiendo a ultranza a ninguna empresa. Todas hacen cosas mal y cosas bien. Pero últimamente Adobe no da pie con bola, y los números lo confirman. Seas quien seas, 5 vulnerabilidades graves en menos de un año es algo muy serio, y las dos últimas en menos de una semana.
"Si el software está bien diseñado NO contendrá fallos" puedes poner algún ejemplo, para saber cual es ese que no tiene fallos.
Joder, que prisa se dan en sacar los parches!!
Hace mas de un mes que desde adobe no deja instalar ien el plugin de flash algo raro decia yo que habia...
totalmente de acuerdo contigo. No tengo mucha idea sobre vulnerabilidades y rollos de estos, pero sí sobre escritura y redacción (me dedico a ello). El tema es que el tono es abiertamente (e intencionalmente) polémico, supongo con el objetivo de conseguir visitas y comentarios.
Yo sólo propongo una reflexión: si Flash es tan malo, ¿por qué está en tantísimos dispositivos de todo tipo en todo el mundo?
interesante
Hola, flash esta en un montón de dispositivos porque es un estandar de facto, se uso durante años para hacer contenido avanzado en las webs y se sigue usando, obviamente no quiere decir que sea lo mejor porque es lo mas usado. El problema que yo veo es que adobe no se ha molestado en solucionar los problemas que tiene su software (de PC/Mac/Linux/Unix) y se ha centrado mas en discutir con Apple y en sacar Flash para Android, ademas que siendo una empresa que tiene el software mas usado en la web (Flash) asi como en entornos corporativos (Acrobat) no se entiende que en menos de 5 meses tengan dos vulnerabilidades 0day (y las que quedan que no han decubierto), vamos que mas les vale poner a sus ingenieros a revisar lineas de código sino quieren que la gente deje de usar su software.
Coma caca, millones de moscas en todo el mundo lo hacen.
Flahs no es malo, esta mal usado por los desarrolladores. Pero el tema en discusión es la deficiencia en los controles de Adobe.
-- editado por última vez a las 14:27
interesante
Pues yo soy una mosca feliz...
Yo también, pero el tema acá no es si flash sirve o no sino sus vulnerabilidades
Pues yo te tengo una respuesta también reflexiva:
Muchos de aquí ya saben la respuesta, pero no viene al caso, es solo una comparación, Windows y flash cumplen su propósito para el que fueron escritos, tal vez por suerte o por llegar primero es que sean tan populares, pero de todos es sabido que "Popular" no siempre es sinónimo de "Calidad".
Mientras Microsoft y Adobe sigan vendiendo y ganando dinero por sus productos defectuosos, jamás se molestaran en mejorarlos, ¿Para qué, si aun así se vende?, hasta el día en que vean que sus clientes huyen como manadas por la pésima calidad de sus productos, ese día se preocuparan por la calidad.
Pues yo te tengo una respuesta también reflexiva.
Muchos de aquí ya saben la respuesta, pero no viene al caso, es solo una comparación, Windows y flash cumplen su propósito para el que fueron escritos, tal vez por suerte o por llegar primero es que sean tan populares, pero de todos es sabido que "Popular" no siempre es sinónimo de "Calidad".
Mientras Microsoft y Adobe sigan vendiendo y ganando dinero por sus productos defectuosos, jamás se molestaran en mejorarlos, ¿Para qué, si aun así se vende?, hasta el día en que vean que sus clientes huyen como manadas por la pésima calidad de sus productos, ese día se preocuparan por la calidad.
Perdon por el doble comentario, no se que paso, pido disculpas por esto.
Joder, que "palizón" me habéis pegado. Aclaro: no tengo acciones de Adobe o algo así. Apaguen el modo "susceptibilidad", caballeros.
Y me reitero: tan súmamente desastroso no puede ser, si es el estándar del mercado. Con ello quiero decir que algo bueno tiene que tener. Ojo, digo que algo tendrá, no digo QUE SEA EL MEJOR NI QUE SEA PERFECTO.
Al final, se trata de competencia entre empresas: hoy apple critica a adobe, mañana microsoft a Google...el asunto es "arrapiñar" clientes, sea como sea.
quería contestar al comentario número 8
Tendrán infiltrado entre a los programadores a un adorador de sata.... digo del sr Jobs.
Recordemos además que flashplayer no es muy bueno que digamos, recordemos que además de tener este fallo gravísimo, tiene también uno de los PEORES DESEMPEÑOS es tan malo que el pobre Android a veces crashes, yo quisiera no se que hubiera una alternativa a flashplayer, ojalá HTML5 lo sustituyera.
Eso es porque no has visto a un Mac ejecutando Flash: se calienta muchísimo el ordenador, y a veces provoca que el navegador se cuelgue y se cierre inesperadamente.
Saludos
¿a veces crashes? que mierda de lexico tienes. ya puedes calificarme negativo, pero no iba a estar feliz si no te lo embarro en el hocico.
Una mas para los que están empeñados en hacernos tragar con las Appelexigencias.
A mí me da igual la vulenarabilidad 0 o -1. Esta clase de noticias huelen a distancia...
Cuidado con PornTube y demas compañias de video en Flash, jajajaja.
El amigo de un primo de un cuñado mio me ha dicho que tenía un sobrino que miraba páginas de esas y que alguna ya usaba html5. :P
Bienvenido HTML5 + CSS·+ Javascript.
SI, Por favor! :D
Será dentro de 1 o 2 años, ahora HTML5 para video es una cagada monumental.
Me van a matar a votos negativos, pero no puedo evitar acordarme de un chiste que surgió cuando se descubrió drogas en el análisis de control antidoping de cierto jugador de fútbol muy famoso. "Encontraron rastros de orina en la droga de Fulanito". Al paso que vamos la noticia va a ser "Encontraron código seguro entre las vulnerabilidades de Adobe
Perdón por mi ignorancia pero, que alcance tiene esa frase de "hacerse con el control del sistema"?, exactamente de qué estamos hablando? ¿Algún ejemplo, o una web de rerefencia?
En el boletín de Adobe no dan más detalles que esa frase, así que no sé exactamente cómo se podría conseguir. Lo más probable es que se trate de una vulnerabilidad de desbordamiento de buffer.
Simplificando bastante, esta vulnerabilidad consiste en que un programa, al escribir en X bloques de memoria, escribe datos que ocupan X+1 bloques, así que sobrepasa el espacio asignado.
Cuando pasa eso, el programa sigue escribiendo en otros bloques de memoria, que podían ser de datos o de instrucciones. Si son de instrucciones, el sistema ejecutará lo que haya ahí escrito, así que si el atacante lo ha hecho bien, se ejecutará el código que él quiera, con las consecuencias que ello pueda tener.
En Wikipedia hay un artículo bastante bueno y con ejemplos.
De todas formas, no es seguro que sea esto lo que le afecta, no soy un experto en seguridad ni mucho menos.
esto está orquestado desde Apple para hundir definitivamente a Adobe y su Flash. no, ahora en serio, llevan varios epic fails...
Que bueno, el I OS no se queda para nada atrás en este sentido.
Desgraciadamente, Adobe la está pasando muy mal últimamente. A mi Flash me parece bueno (cumple con su propósito), pero en temas de seguridad y rendimiento da mucho que desear.
Yo creo que así como Apple, habrá otras empresas que le darán la espalda a Flash, pero esto sucederá cuando existan alternativas viables, ya que, de lo contrario, Flash seguirá usándose.
No he usado Silverlight de Microsoft, pero creo es una alternativa válida, al igual que esperar a ver HTML5 en su máxima expresión.
Saludos.
Curiosamente silverlight es muy bueno...pero es desconocido, yo lo uso exclusivamente al igual que el explorer para cargar archivos al skydrive y es muy bueno.
Adobe siempre se me ha hecho una compañia demasiada cerrada, claro que microsoft tambien lo es pero tiene una comunidad de desarrolladores muy grande que le permite mejorar eficazmente sus programas. Imaginen que los Hermanos wright o Da Vinci hubieran restringido el accesso a sus inventos especialmente hablando de la aviacion, a lo mejor los aviones no se hubieran desarrollado lon suficiente para las necesidades del ser humano,... lo mismo pasa con flash, el conocimiento esta cerrado aun grupo no muy grande y la evolucion de la teconogia se los esta comiendo y no se dan abasto para estar a la par de ella. En caso del HTML 5 esta en pañales como un bebe, pero puede crecer rapido con la idea de todos.
vaya cada fail de Flash es un paso mas de HTML5 para quedarse con la web
Marean la perdiz. No es cuestión de un producto o una compañía. Yo creo que más bien todas las grandes compañías americanas tienen puertas traseras para estar en el verdadero negocio.
Cada vez me gusta menos el Flash Player, prefiero usar Html5 o el Silverlight
como dice Gruber "Flash Player for iOS is not affected."
Pues si estoy deacuerdo con varias opiniones cada fallo acerca a html5, pero tambien cuando todos usemos html5 que pasara empesaran a encontrar bugs y hora a kien le diran que es una mierda html5, vamos simpre es asi, mejor buscar lo que funciona mejor y dejar de tirar mierda a otros, ya somos muchos para hablar pero pocos para actuar.
-- editado por última vez a las 21:38
Suma y sigue y no queremos darnos cuenta solo porque Steve Jobs abiertamente lo odia.
Si también afecta a Android debería de tratarse e xatakamovil, que parece que allí solo ven lo bueno y no quieren entrar en razón con flash por su odio a iOS.
-- editado por última vez a las 21:39
No es eso, sino que el html5 debería ser abierto, no el código que quiera jobs, ahí el dilema.
Flash nunca se ha caracterizado por su seguridad, ni cuando era de macromedia, ni ahora con adobe. Es un producto bastante peculiar.
HTML5 está un poquito verde comparando con Flash. Merece la pena seguir apoyando a HTML5 pero ahora mismo Flash es el que tiene el terreno asegurado.
Luego cuando pasen los años, Adobe se cagará de miedo viendo como su Flash Player desciende en uso pero hasta entonces...
Por suerte, hay sistemas operativos donde el hecho de que alguien se haga con el control no compromete el sistema entero.
No es que sea inocuo del todo pero hay una gran diferencia entre que el sistema completo quede comprometido y uno no pueda estar nunca seguro de que se deshizo de todos los rastros del ataque hasta que formatee y reinstale todo, y que sólo queden comprometidos los documentos del usuario y para asegurarse baste con crear un usuario nuevo.
Lástima que el sistema más difundido del mundo no es justamente el que más indefenso deja al usuario. Pero bueno... como aprender otra cosa es muy complicado, y nunca tenemos tiempo, a demás no viene fotoshó... hay que aguantarse ¿no?
Siiii, FLASH es mailisimo, es lo peor.... Pero ahí están los anuncios en esta web en formato flash. Eso se llama ser hipócritas. No voy a opinar si flash bueno o flash malo. Pero me hace gracia q comentéis esto pero ahí estáis usando flash para la publicidad.
Coincido con vosotros. Yo tengo flashblock, y sólo visualizo aquellos que quiero. Por defecto, es raro que acepte alguno.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect