Como si no tuviese suficiente Adobe con la “guerra” que está manteniendo con Apple, ahora han aparecido dos vulnerabilidades que afectan a Flash y a Adobe Reader y Acrobat. Y cuidado, que han sido descritas como “extremadamente crítica” por la empresa de seguridad Secunia.
La vulnerabilidad afecta al Flash Player 10.0.45.2 y versiones anteriores del 10.0.x y 9.0.x, tanto en Windows como en Mac, Linux y Solaris; también afecta a Adobe Reader y a Acrobat 9.3.2 y versiones anteriores del 9.x para Windows, Mac y sistemas UNIX. El fallo, que aún no ha sido especificado, potencialmente permitiría a un atacante tomar el control del sistema. La Release Candidate del Flash Player 10.1 no está afectada.
Todavía no hay parche que solucione esto y la vulnerabilidad esta siendo aprovechada, así que mucho cuidado con lo que te descargas o a donde entras. Las soluciones para correr menos riesgos pasan por ahora por instalar el Flash Player 10.1 RC o directamente deshabilitar Flash. Y en cuanto a Reader y Acrobat, no usar ninguno (para leer PDF, puedes usar Foxit) o borrar, cambiar el nombre o bloquear el acceso al archivo authplay.dll. En Windows suele estar en C:\Archivos de programa\Adobe\Reader 9.0\Reader\ o \Acrobat\, según el programa. Si hacéis esto, es posible que experimentéis errores al intentar abrir un PDF que tenga contenga SWF.
Vía | Zero Day
Enlace | Comunicado de Adobe
Descarga | Flash Player 10.1 RC
Comentarios
interesante
A Adobe le llueve sobre mojado...
A mi, conformo mas les cae encima, mejor me caen. Adobe me esta empezando a parecer algo adorable
Ni siquiera Linux se salvó, entonces es grave esto. La RC6 en 64 bits me protege, pero no creo que tarden mucho en encontrarle sus agujeros, ojalá que adobe lance la versión definitiva pronto.
Bueno, hay que tomar en cuenta que en Linux forzar al usuario a ejecutar instrucciones no es tan grave, debido a la seguridad intrínseca del sistema. Incluso en el caso de que te hayan metido algo, eliminarlo es tan sencillo como cerrar la sesión, entrar con un usuario nuevo y recuperar los documentos personales. Cosa de minutos y que lo puede hacer cualquier usuario inexperto.
No conozco mucho de OSx pero al estar basado en Unix es posible que un ataque así tampoco pueda comprometer el sistema.
mier, los de adobe deberian haber hecho un mejor trabajo, porque, para que un virus entre a linux o mac...
No creas que es muy difícil lee esto
-- editado por última vez a las 05:19
ya se, pero ve tu mismo, en linux no entran muchos virus, por estar basado en unix
Mas bien está basado en Minix...
para que un virus entre a linux o mac...
....basta que tu le des acceso root, y no me acuerdo en linux, pero en mac os tienes que poner tu pass para instalar flash
interesante
Linux no se basa en Minix. Ya que fue escrito desde cero. Son términos que se pueden confundir facilmente.
Linus se inspiró en Minix para crear su núcleo, que eso si es cierto.
Pero en términos generales todos son UNIX.
-- editado por última vez a las 12:25
El problema de Linux viene de que el flash, se instala en un directorio con permisos de ejecución root, por eso y como no me fio de flash ni un pelo, cambio esos permisos de ejecución por los de usuario.
Y asunto zanjado.
No poseo un Mac (aún xD), pero sería interesante que alguien probase algo parecido a lo que he hecho yo en Linux.
No se si te refieres a esto (es que soy muy corto en unix) http://img716.imageshack.us/img716/1821/flashen.jpg
Pero el directorio adonde se encuentra flash (Internet Pluins) tienes todos los permisos.
-- editado por última vez a las 13:24
Manuel, los permisos no los tiene un directorio, sino un usuario. Que flash se encuentre en un directorio tenga permisos de root quiere de cir que para escribirlo (e incluso a veces para leerlo) hace falta permisos de root. Por mucho que flash se encuentre en dicho directorio jamás podrá asaltar a los demás archivos.
Edito: Renato, eso es el usuario que ejecuta flash, no que flash sea ese usuario.
-- editado por última vez a las 14:10
Pero Manuel (o Multi xD), yo creo que Flash no puede tomar control de root. Se ejecuta con permisos de usuario. Tú ves vídeos Flash en Youtube, pero lo haces como usuario. Para cualquier software que necesite de permisos (synaptic, pacman, etc) tienes que darle la contraseña. Tú a flash no le das tu contraseña salvo, obviamente, para instalarlo.
Creo que me he explicado mal en el post anterior, me refería a que los permisos para leer/escribir en alguna carpeta o archivo no los tiene un directorio, este tiene permisos para decir quien lo puede leer/escribir.
Cierto, MiguelOn y Birz...
No se porqué lo hice pero ahora que lo pienso en frio, fue un poco absurdo. xD Estaría emparanoiado o algo así.
De todos modos he actualizado la versión de flash a la 10.1.53 para evitar posibles problemas.
Gracias!
No tiene nada que ver en qué directorio se instale. Flash corre con los privilegios del usuario que lo ejecuta. Más bien, con los privilegios que esté corriendo Firefox o el browser que lo esté usando. El estar en un directorio con permisos sólo para root lo que hace es que quede protegido de cualquier ataque.
Si le das permiso de escritura a los usuarios a un directorio del sistema donde hay cosas como el intérprete de flash, lo que lograrás es que los usuarios puedan borrarlo.
Lo que debe preocuparte no es cuando aparece la "x" (ejecución) en un archivo perteneciente a root sino cuando esa x es reemplazada por una x, lo que significa que al ser ejecutado ese programa podrá (si lo desea) solicitar al sistema actuar con los privilegios del dueño (root en este caso). Pero si no tiene una "s" en el dueño o en el grupo, no hay que preocuparse.
Normalmente, las distribuciones hacen un buen trabajo cuidando de que los permisos sean los correctos para mantener la seguridad del sistema.
O sea, si de alguna forma (como por ejemplo esta vulnrabilidad en Flash) se logra ejecutar algún programa malicioso, será con los privilegios el usuario. Y como todo el software está instalado en directorios sólo accesibles para el root, este programa no podrá infectar el sistema ni cambiar configuraciones. Los únicos lugares accesibles por un programa malicioso son los directorios del usaurio mismo, donde sólo se guardan documentos personales.
Por eso es tan sencillo deshacerse de un virus: basta con cerrar la sesión y abrir otra con otro usuario.
-- editado por última vez a las 09:30
Yoyoyo,
Ya, si todo eso lo conozco. Ya te digo, no se en que estaría pensando a la hora de hacer eso.
De hecho, hago uso del tan poco conocido sticky bit en el ordenandor de sobremesa que es compartido.
De todos modos gracias por la aclaración. Este verano es muy malo para pensar xD.
Un saludo!
-- editado por última vez a las 16:28
Vamos a ver, dudo mucho que esto sea un virus, y si lo fuera, estaros tranquilos que en Linux apenas tendría efecto. Esto tiene más pinta de rootkit o troyano (cosa que en Linux tampoco iría mucho más lejos). Os pego un trozo de un articulo que va rodando por internet:
un rootkit es un parche al kernel que permite ocultar determinados procesos a las utilidades de área de usuario. Dicho de otra forma, es una modificación del código fuente del kernel que tiene como objeto que las utilidades que permiten ver qué se está ejecutando en cada momento no visualicen un determinado proceso, o un determinado usuario. un troyano es análogo: es una mo- dificación al código fuente de un servicio concreto para ocultar determinada ac- tividad fraudulenta. En ambos casos es necesario obtener el código fuente de la versión exacta instalada en la máquina Linux, parchear el código, recompilarlo, obtener privilegios de administrador, insta- lar el ejecutable parcheado, e inicializar el servicio –en el caso del troyano– o el sis- tema operativo completo –en el caso del rootkit–. El proceso, como vemos, no es trivial, y nadie puede hacer todo esto “por error”. Tanto unos como otros exigen en su instalación que alguien con privilegios de administrador, de forma consciente, ejecute una serie de pasos tomando deci- siones de índole técnica.
Vamos, que puede que sea un agujero para entrar en Linux, pero de ahí a que lo consigan sin tu permiso es bastante difícil, así que yo no me preocuparía mucho.
Edito: Os pongo otro trozo de ese articulo, para que veáis la dificultad de dicha tarea:
Un rootkit es básicamente un parche al kernel
que permite ocultar la existencia de determinados usuarios
y procesos ante
las herramientas habituales, gracias a que
no aparecerán en el directorio /proc. Lo
normal es que lo utilicen al final de un ata-
que, en primer lugar, van a explotar una
vulnerabilidad remota para tener acceso a
nuestra máquina. Después emprenderán
una secuencia de ataques, para hacer
escalado de privilegios hasta llegar a tener
la cuenta de root. El problema cuando lo
consiguen es cómo instalar un servicio en
nuestra máquina sin ser detectados: ahí
entra el rootkit. Se crea un usuario que
será el usuario efectivo del servicio que
queremos que se oculte, instalan el root-
kit, y ocultan tanto dicho usuario como to-
dos los procesos pertenecientes a dicho
usuario.
De cómo ocultar la existencia de un
usuario es útil a un virus es algo que po-
dríamos discutir largamente, pero un virus
que emplee un rootkit para instalarse pa-
rece divertido. Imaginemos la mecánica
del virus (en pseudocódigo):
1) El virus entra en el sistema.
) Localiza el código fuente del ker-
2
nel. Si no está lo instala él mismo.
) Configura el kernel para las op-
3
ciones de hardware que procedan
para la máquina en cuestión.
) Compila el kernel.
4
) Instala el nuevo kernel; modifi-
5
cando LILO o GRUB si es preciso.
) Reinicia la máquina.
6
-- editado por última vez a las 04:39
Por Dios!!! esto es un blog no un foro, inserta un link y líbranos del scroll infinito.
@LmxCraft
De acuerdo contigo si quisiera saberlo lo buscaria en google/wikipedia o como dices en un foro.
Bueno yo uso flash player 10.1 RC7 y uso Foxit, asi que, estoy a salvo, claro esta si alguien le interesa mi PC.
-- editado por última vez a las 05:32
Lo siento, quise arreglarlo para que quedara más leible, pero cuando terminé no me dejó editar por que se había pasado el tiempo. No puse el link por que lo tengo en un pdf.
Que quieras vivir en la ignorancia es tu problema y te ayudaría a no meterte por aquí. Seguro que hay gente que usa GNU/Linux y si que quiere librarse de la duda que le ha puesto este articulo.
¿Y tu sabes mucho por que usas linux? u_U! ¡Que Arrogante!
Yo no se mucho por que uso GNU/Linux, es más, yo no sé mucho, simplemente se lo justo por que estudio Ing. Informática.
Bueno, de hecho muchas vulnerabilidades son provocadas por plugins, o programas ajenos al sistema operativo. Ahora fue culpa de Flash y Adobe Reader, pero hace apenas unos meses se hablaba sobre la vulerabilidad zero-day de Java 6 update 19 que también afectaba a TODOS los sistemas operativos y navegadores.
Sí, pero no los afecta a todos de la misma manera.
Una vulnerabilidad de las más graves es la que permite la ejecución de código en el equipo atacado. Pero no es lo mismo que se ejecute código en un windows que en un Linux.
Windows fue pensado para que el usuario sea dueño y señor de su propio equipo, lo cual en su tiempo era una excelente idea. O sea que en windows si logramos engañar al usuario para que ejecute un determiando programa (por ejemplo mediante un problema como el que describe este artículo), el programa malicioso será tan dueño y señor como el usuario. Se han intentado hacer mejoras a eso en Vista y resultó que los usuarios sólo se quejaban de que el sistema pidiera permiso para todo y al final le daban siempre que sí o desactivaban la seguridad. W7 mejora un poco eso pero el problema básico es el mismo.
En cambio Linux copia el esquema de seguridad de Unix. Unix fue pensado para sistemas multiusuario. Imagina un sólo sistema utilizado por cientos de personas al mismo tiempo (algo normal en Unix). Es obvio que no se puede permitir que ninguno de ellos interfiera en lo que hace los demás y mucho menos en el sistema operativo, configuraciones, dispositivos, etc. Ni siquiera se puede permitir al usuario que formatee un disco o mande a grabar algo en una grabadora o unidad de cinta por ejemplo.
Esto, que en principio parecen restricciones molestas para un sistema de escritorio, al final resulta que son más molestas para los que hacen virus que para los usuarios. Para poder formatear, y configurar se han creado programas que adquieren momentáneamente los privilegios del administrador para hacer los cambios necesarios y el resto se hace con privilegios de usuario. Eso incluye lo que en este caso nos preocupa: Flash o Acrobat Reader se ejecutan con los mismos privilegios que tenían hace años los usuarios de sistemas multiusuario. O sea que no puede tocar nada más que lo suyo. Lo cual si bien es un problema, resulta que no es, ni de lejos, tan grave como lo sería en un sistema con un esquema de usuario único con acceso a todo.
Y como ya he dicho antes, dado que el usuario sólo puede escribir en su directorio personal, un malware sólo puede encontrarse ahí y deshacerse de él es algo trivial incluso para usuarios inexpertos.
No creo que sea para tanto. Con esperar un parche de Adobe es suficiente. Que aparezca una vulnerabilidad es algo habitual en los navegadores, por ejemplo. Y nadie deja de usarlos, simplemente se espera el fix y ya está.
Claro. Basta con seguir expuesto a cualquier ataque mientras una empresa comercial decide si le resulta rentable gastar tiempo y dinero en solucionar un problema o mejor esperan semanas o meses que esté lista la versión siguiente.
Adobe se preguntará: "será necesario dedicar personal a trabajar en una versión vieja? Se resignarán los usuarios a tener otro agujero más? Total, ya están acostumbrados a que Microsoft tarde meses o años en arreglar los problemas, uno más no hace mucha diferencia..."
que le pasa a adobe de repente sus programas se an convertido en un queso gruyere.
¿De repente?
Más bien huele a que de repente "alguien" está invirtiendo recursos en buscarle los agujeros que siempre tuvo el queso.
¿Y por qué sale esta noticia AHORA?
Si la vulnerabilidad siempre ha estado ahí, ¿por qué precisamente AHORA se comenta con tanta fuerza?
Desde Flash 9 ha pasado mucho tiempo, y los hackers hubiesen tenido tiempo de sobra para aprovechar este problema. ¿Y las otras compañías antivirus, más famosas, por qué no han comentado nada, o actualizado sus antivirus ante esta amenza supuestamente crítica?
-- editado por última vez a las 10:53
Que han estado haciendo los hackers y las empresas antivirus no lo se, pero se comenta porqué el comunicado vino directo de adobe (twitter de)
Ah....
O al menos eso dicen en la web de zdnet
He aquí una razón por la que odiar a Flash y a adobe en general.
Bueno, no creo que tenga más agujeros que la mayoría del software comercial.
No te olvides de que para una empresa, lo ideal es crear un producto y sentarse a ver cómo entra el dinero por la venta de él. Arreglarlo si se descubre un problema es un gasto extra que evitan tanto como sea posible.
Prefieren gastar en abogados enjuiciando a quien descubre un problema de seguridad que en arreglar los problemas. Y es lógico, porque por caro que sea enjuiciar a una persona, se considera una inversión para disuadir a los demás de seguir buscando agujeros, los cuales de seguir apareciendo implicarían más y más gastos en arreglar un producto que sólo debería generar ganancias invirtiendo sólo en publicidad.
¿Se sabe si esta vulnerabilidad afecta también a la versión de Flash "Gala" de Mac Os X?
Viruses multiplataforma!! flash es genial :D
Se dice virus, no viruses :S. Y por cierto, esto no trata de virus, es más un troyano o un rootkit.
No es que haya virus multiplataforma. Lo que hay es un problema de seguridad multiplataforma. Para que un virus tenga efecto en varias plataformas diferentes deberá estar pensado especialmente para eso y aprovechar este problema. Lo más seguro es que si alguien está explotando esto, ese ataque sólo funcione en windows. No vale la pena tomarse el trabajo de atacar un Linux sabiendo que hay decenas de distribucioes y versiones diferentes por las que preocuparse, y para colmo con lo poco que se puede conseguir debido a que un virus con privilegios de usuario no puede llegar a ninguna parte y escalar privilegios en tantas versiones diferentes es algo prácticamente imposible y aunque se pudiera, requeriría mucho más trabajo del que vale la pena. Sobre todo teniendo unas vícitamas mucho más sencillas de atacar y tan abundantes.
interesante
Esto es una soberana gilipollez. Los que tengáis un sistema operativo que restrinja el modo usuario, tranquilos, esta vulnerabilidad no se puede ni explotar. En linux flash se instala en una carpeta con privilegios de root así que basta con cambiarselos. En Windows Vista y Windows 7 con el UAC activado no hay ninguna forma de explotarlo para tomar el control del sistema.
Ahora, claro, si tienes un sistema operativo de hace 10 años ó un sistema operativo sin medidas de seguridad eficientes, lo más seguro es que puedan infectarte.
¿Y cual es esa carpeta?
Yo de tu no cambiaría nada, lo único que conseguirás es que cualquier usuario pueda leer/escribir en esa carpeta, lo cual sería más peligroso. Una carpeta no tiene privilegios, sino permisos, y lo que le cambiarías sería eso, los permisos, para que no sólo root pueda acceder a ella.
34 Comentario moderado
28Es cierto, no me expresé demasiado bien sobre linux. En Win Vista/seven sería muy dificil escalar privilegios excepto por ingeniería social (osease, engañar al usuario). En winxp ya es otro tema. Recordemos que el 99% de las infecciones informáticas la culpa la tiene el usuario.
-- editado por última vez a las 17:58
Bueno, dirán lo que quieran, pero gracias a Birdz por la información. (:
Salu2
De nada ;p
¿Afecta a la versión de Chrome con flash integrado?
Hola
Uso la version de 64 bits ¿ tambien esta afectada ?
¿ esta versión Alfa ha tenido actualizaciones en los ultimos meses ?
Gracias
j
El artículo lo dice bien... una posible solución es desactivar flash.
Y eso es exactamente lo que dice Steve Jobs!!!
Que también afecte a versiones anteriores no significan que los hackers se lo tuvieran callado y lo sacaran ahora... simplemente ahora han "avisado".
No es que sea un virus, es que es un acceso que puede ser explotado de muchas formas(según la persona que hace ese SWF malicioso quiera) ya que te infectas al entrar en la página o ver un archivo de flash.
El último que salió similar hace unos meses se podía infectar incluso desde youtube... así que venga... a disfrutar de flash.
Le quedan dos días de vida a flash.
-- editado por última vez a las 17:15
interesante
Steve Jobs no es paladín de la seguridad ni mucho menos, sino por qué OSX por lo general es la primera en caer en los concursos Pwn2Own, donde un hacker tomo el control de un Mac antes de terminar su primer café? y según él los problemas siguen ahí.
-- editado por última vez a las 17:23
jajaja pero si el premio de 10000 dólares se lo ha llevado un tío por CONSEGUIR HACKEAR un MacBook Pro.
Ningún sistema es 100% seguro pero de ahí a compararlo con flash o windows.... hay un abismo.
Si un grupo de los mejores hackers del planeta se plantea saltarse un sistema(en un sitio controlado) lo acaban consiguiendo... pero no se pueden extrapolar esos datos a la realidad.
-- editado por última vez a las 19:31
"pero de ahí a compararlo con flash o windows"
Dicen los que saben, yo no, que las ultimas versiones de Windows son más seguras que MacOSx, googealo si quieres. De mitos está lleno este mundillo.
Esta entrada es un ejemplo de lo poco útil (o incluso contraproducente) que puede llegar a ser un aviso de vulnerabilidad según los cánones clásicos.
Según Secunia, Flash tiene en sus últimas versiones una vulnerabilidad crítica, no especificada (en la página no nos dice absolutamente nada de nada), y la catalogan como "extremadamente crítica" sin decir nada sobre el mecanismo, componentes involucrados... nada de nada...
A mi me parece una información poco útil. No sé que falla, no sé que componentes están involucrados, no sé si puedo hacer algo para subsanar el problema mientras los chicos de Adobe sacan un parche.
Las vulnerabilidades hay que publicarlas con todos los datos, para que uno sepa a que atenerse (y quien sabe, quizás hasta sugerir alguna solución).
PD: En GNU/Linux, flash suele instalarse en el directorio "/opt", que es donde van los van los binarios externos, y los programas propietarios (incluidos juegos). Los permisos de ese directorio suelen ser "drwxr-xr-x 4 root root", así que salvo root, los demás usuarios solo pueden ejecutar cosas (sin poder modificar absolutamente nada). No toquen los permisos de ese directorio, que así están bien ;-)
En Arch es en el directorio /usr, pero vamos, es la misma historia. Únicamente deja leer archivos a los usuarios excepto root, evidentemente.
Pensando ahora, creo que fue por eso mismo por lo que le di permisos de ejecución desde mi usuario mediante un enlace simbólico dentro de mi /home.
De todos modos, ya está todo aclarado y gracias Gsardou por esa pequeña info sobre el dir. /opt, no la conocía.
Entonces propones que den toda la información, sin importar que algunos aún desinformados se documenten e intenten explotar la vulnerabilidad. Mmmh... prefiero que lo arreglen sin que den mucha información.
Yo también tengo una extensión para que flash no se ejecute automáticamente, y lo autorizo en contadas excepciones. A veces visito páginas que son totalmente en flash, durante décimas de segundo claro. Prefiero páginas normales.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect