OXYGEN3 : Desbordamiento de bufer en reproductor Shockwave
"Empieza cada día con una sonrisa
y mantenla todo el dia."
W. C. Fields (1880-1946), actor estadounidense
- Desbordamiento de bufer en reproductor Shockwave -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
MADRID, 27 de febrero de 2006 - Se ha anunciado la existencia de una vulnerabilidad en el reproductor Shockwave de Macromedia (Adobe), que podría ser empleada por atacantes remotos para provocar la ejecución de código arbitrario en los sistemas afectados.
El problema reside en el proceso de instalación del reproductor, concretamente en el control ActiveX con CLSID 166B1BCA-3F9C-11CF-8075-444553540000. Este control contiene una vulnerabilidad producida por un desbordamiento de bufer. Un atacante remoto podrá crear una página web, con contenido Shockwave, de forma que cuando sea cargada por el usuario, preguntará al usuario para instalar el reproductor y ejecutará el código malicioso.
Se ha confirmado que pueden emplearse dos parámetros no detallados para explotar el desbordamiento. La propia compañía ha calificado el problema como crítico, y ha publicado la adecuada actualización. Como solo se ve afectado el instalador, los usuarios actuales del reproductor Macromedia Shockwave Player no se ven afectados. Los usuarios que descarguen e instalen el último Shockwave Player no serán ya vulnerables.
Adobe informa del fallo y proporciona soluciones en la página http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html
Saludos,
Blogmaster
y mantenla todo el dia."
W. C. Fields (1880-1946), actor estadounidense
- Desbordamiento de bufer en reproductor Shockwave -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
MADRID, 27 de febrero de 2006 - Se ha anunciado la existencia de una vulnerabilidad en el reproductor Shockwave de Macromedia (Adobe), que podría ser empleada por atacantes remotos para provocar la ejecución de código arbitrario en los sistemas afectados.
El problema reside en el proceso de instalación del reproductor, concretamente en el control ActiveX con CLSID 166B1BCA-3F9C-11CF-8075-444553540000. Este control contiene una vulnerabilidad producida por un desbordamiento de bufer. Un atacante remoto podrá crear una página web, con contenido Shockwave, de forma que cuando sea cargada por el usuario, preguntará al usuario para instalar el reproductor y ejecutará el código malicioso.
Se ha confirmado que pueden emplearse dos parámetros no detallados para explotar el desbordamiento. La propia compañía ha calificado el problema como crítico, y ha publicado la adecuada actualización. Como solo se ve afectado el instalador, los usuarios actuales del reproductor Macromedia Shockwave Player no se ven afectados. Los usuarios que descarguen e instalen el último Shockwave Player no serán ya vulnerables.
Adobe informa del fallo y proporciona soluciones en la página http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html
Saludos,
Blogmaster