Actualización de Seguridad de julio para Flash
Esta actualización de seguridad corrige las siguientes vulnearbilidades, descritas en el boletín de seguridad de Adobe APSB17-21.
- ADV170009
- CVE-2017-3099
- CVE-2017-3080
- CVE-2017-3100
Producto | Sistema Operativo |
Adobe Flash Player | Windows Server 2016 |
Adobe Flash Player | Windows 10 Version 1703 for x64-based Systems |
Adobe Flash Player | Windows 10 Version 1607 for x64-based Systems |
Adobe Flash Player | Windows 10 Version 1511 for 32-bit Systems |
Adobe Flash Player | Windows RT 8.1 |
Adobe Flash Player | Windows 8.1 for x64-based systems |
Adobe Flash Player | Windows 10 for 32-bit Systems |
Adobe Flash Player | Windows Server 2012 |
Adobe Flash Player | Windows 10 Version 1703 for 32-bit Systems |
Adobe Flash Player | Windows 10 Version 1511 for x64-based Systems |
Adobe Flash Player | Windows 10 Version 1607 for 32-bit Systems |
Adobe Flash Player | Windows 10 for x64-based Systems |
Adobe Flash Player | Windows Server 2012 R2 |
Adobe Flash Player | Windows 8.1 for 32-bit systems |
Adobe liberó actualizaciones de seguridad para Adoble Flash Player para Windows, Macintosh, Linux y Chrome OS. Estas actualizaciones corrigen vulnerabilidades críticas que podrian permitir a un atacante tomar control de un sistema afectado mediante la ejecución remota de código.
En un escenario de ataque basado en web en el que el usuario está utilizando Internet Explorer, un atacante podría alojar un sitio web especialmente diseñado para explotar cualquiera de estas vulnerabilidades a través del navegador y convencer al usuario de que vea el sitio web. Un atacante también podría incrustar un control ActiveX marcado como "seguro para inicialización" en una aplicación o documento de Microsoft Office que aloje el motor de renderizado de IE.
El atacante también podría aprovechar sitios web comprometidos y sitios web que aceptan o alojan contenido proporcionado por el usuario o anuncios. Estos sitios web podrían alojar contenido especialmente diseñado que podría aprovechar cualquiera de estas vulnerabilidades. En todos los casos, sin embargo, un atacante no tendría manera de obligar a los usuarios a ver el contenido malicioso. En su lugar, un atacante tendría que convencer a los usuarios para que realicen alguna acción, normalmente un clic en un enlace de un mensaje de correo electrónico que lleve a los usuarios al sitio web del atacante o abriendo un archivo adjunto enviado por correo electrónico.
En un escenario de ataque basado en web en el que el usuario está utilizando Internet Explorer en la interfaz de usuario estilo Windows 8, un atacante primero debería comprometer un sitio web ya enumerado en la lista Vista de compatibilidad (CV). Un atacante podría alojar en sitio web contenido Flash especialmente diseñado diseñado para explotar cualquiera de estas vulnerabilidades a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web.