El Blog de Machinarium021

Software libre y tecnología en general.



Nueva vulnerabilidad de Flash, ¿Qué podemos hacer?

adobe-flash

El año apenas comienza y Flash no deja de mostrar noticias lamentables, en este caso un exploit que puede facilitar un ataque de día cero, el cual quien sabe si será completamente solucionado.

Al parecer la nueva vulnerabilidad descubierta esta semana tiene su origen en banners de publicidad de sitios como Dailymotion, NYdailynews.com y Tagged.com.

Según Malwarebytes, empresa que descubrió el problema, aunque la vulnerabilidad se descubrió esta semana es muy posible que lleve en ejecución al menos desde diciembre. Los afectados por lo general son usuarios de Windows, pero todo indica que cualquier sistema operativo que haga uso de Flash también es vulnerable a través del complemento de Flash para Firefox e Internet Explorer.

Guerra de Exploits

Tener este tipo de ataques en una misma pieza de software no es nada bueno y según parece tiene que ver con kits de exploits vendidos en el submundo del internet. Estos exploits son inyectados en sitios web como los ya mencionados a través de sus anuncios publicitarios. Un exploit conocido como Angler fue el responsable de los dos primeros ataques de día cero reportados. Este último ataque es responsabilidad de Hanjuan, un competidor de Angler.

Esta serie de ataques supone gran molestia para el usuario final que se preocupa por estos temas y obviamente para Adobe, los cuales hacen un parche para un tipo de vulnerabilidad y a los pocos días se descubre otra. Según investigadores de Cisco Systems, el último exploit está presente en al menos 1800 dominios.

¿Qué podemos hacer los usuarios?

uninstall-flash

Lo primero que debemos hacer los usuarios es vigilar que tengamos la última versión de Flash en nuestros navegadores. El problema está en que Adobe hace entre poco y nada por Firefox para GNU/Linux, en donde al no ofrecer soporte para NPAPI de forma más frecuente y sólo reservarse a realizar pequeñas actualizaciones de seguridad sobre Flash 11 es muy probable que estemos expuestos por una larga temporada.

Personalmente me parece bastante injusto que solo Pepper (PPAPI) este libre de este problema, si hacemos memoria recordaremos que Flash hizo una alianza con Google para mejorar el plugin de Chrome, el cual ya viene integrado en el navegador y el cual no cuenta con suficiente documentación para ser incluido en otros navegadores.

Lo otro que podemos hacer es eliminar completamente a Flash de nuestras vidas o usarlo lo menos posible, Android lo ha abandonado, Youtube igual y HTML5 sigue ganando terreno para volverse el estándar al momento de crear contenido multimedia e interactivo en el navegador.

Blog Logo

Richard Armuelles

Frontend, Mozilla Reps, Blogger, Speaker & Free Software Evangelist

  • Panama
comments powered by Disqus