Adobe ha publicado una actualización para Flash Player que soluciona
múltiples problemas de seguridad con distintas consecuencias.
* Un error a la hora de procesar expresiones regulares puede ser
aprovechado para provocar un desbordamiento de memoria intermedia basado
en heap.
* Un error no especificado en la interpretación de ficheros SWF que
podría ser aprovechado para ejecutar código arbitrario.
* Un error no especificado en Adobe Flash Player y Opera bajo Mac OS X.
* Un error al aplicar los ficheros de políticas de cross-domain puede
ser aprovechado para eludir restricciones de seguridad.
* Cross site scripting en el manejo de protocolo "sfunction:".
* Cross site scripting en la función "navigateToURL". Esto sólo afecta
al control ActiveX para Internet Explorer.
* Un fallo no especificado que permitiría modificar las cabeceras HTTP.
* Un error de implementación de las clases Socket o XMLSocket
ActionScript podriá permitir determinar si un puerto de un host remoto
está abierto o cerrado.
* Un error al resolver direcciones DNS. Esto puede ser aprovechado para
realizar ataques de DNS rebinding.
* Un error a la hora de establecer los permisos de memoria en Adobe
Flash Player para Linux puede ser usado para elevar privilegios.
Se recomienda actualizar a la versión 9.0.115.0 desde:
Windows, Mac, y Linux:
http://www.stage.adobe.com/go/getflash
Distribución por red:
http://www.stage.adobe.com/licensing/distribution
Flash CS3 Professional:
http://www.adobe.com/support/flash/downloads.html
Flex 2.0:
http://www.stage.adobe.com/support/flashplayer/downloads.html#fp9
Fuente: Hispasec
