Adobe parchea una vulnerabilidad en Flash que estaba siendo explotada

Adobe ha publicado una actualización de emergencia para Flash Player para hacer frente a una vulnerabilidad de día cero que está siendo explotada activamente. La compañía también está investigando informes sobre otro fallo de Flash que no habría sido parcheado en la nueva versión, y que está siendo utilizado por el exploit kit Angler para realizar ataques.

La vulnerabilidad que Adobe ha parcheado este jueves, y que da lugar una fuga de memoria que puede permitir evitar la protección ASLR (Address Space Layout Randomization) en plataformas Windows, está bajo ataque activo, pero los responsables de Adobe aseguran que este no es el fallo que el investigador de seguridad Kafeine señaló que estaba siendo utilizado en los ataques de Angler. Según el investigador, el exploit de día cero que afecta a las últimas versiones de Flash estaba siendo usado para instalar una versión del malware Bedep, utilizado en campañas de anuncios fraudulentos.

A última hora de ayer, Adobe comunicó que planea lanzar un parche para la segunda vulnerabilidad de día cero en Flash, sin especificar una fecha exacta de lanzamiento.

"Existe una vulnerabilidad crítica en Adobe Flash Player 16.0.0.287 y en versiones anteriores para Windows y Macintosh. Una explotación exitosa podría causar un accidente y potencialmente permitir a un atacante tomar el control del sistema afectado ", asegura Adobe en un aviso. “Estamos al tanto de los informes que confirman que esta vulnerabilidad está siendo explotada activamente a través de ataques drive-by-download contra sistemas que ejecutan Internet Explorer y Firefox en Windows 8 y en versiones anteriores”.