Adobe lanzó ayer un parche para Adobe Flash, que imposibilita la ejecución del zero-day en Internet Explorer. Fue publicado pocas horas después de que el gobierno de Estados Unidos recomendara a los usuarios de Internet Explorer que cambiaran de navegador, según el comunicado de prensa del United States Computer Emergency Readiness Team (US CERT).
La actualización está disponible para Adobe Flash Player 13.0.0.182 y versiones previas de Windows; Flash Player 13.0.0.201 y versiones previas para Macintosh; y Adobe Flash Player 11.2.202.350 y versiones anteriores para Linux.
Desde el pasado sábado 26 de abril, cuando Microsoft confirmó la existencia de la vulnerabilidad CVE-2014-1776 en Internet Explorer (Versiones 6 a 11), de seguro estuvo en la mente de varios usuarios una pregunta: ¿recibirán ayuda de Microsoft aquellos que aun utilizan Windows XP?
La respuesta es parcialmente negativa: tras el cierre del soporte técnico para este sitema operativo, quedó claro que no recibirá actualizaciones de seguridad. Sin embargo, sus usuarios pueden mitigar esta vulnerabilidad simplemente utilizando cualquier navegador que no sea Internet Explorerpor ejemplo, Mozilla Firefox o Google Chrome).
La falla básicamente dependía de tres factores:
1) La víctima tenía que estar utilizando Internet Explorer (la mayoría de las campañas activas hasta ayer estaban dirigidas a las versiones más recientes, 10 y 11)
2) Tener el plugin de Adobe Flash
3) El factor humano, ya que el atacante necesitaría hacer uso de Ingeniería Social.
En nuestra publicación anterior sobre esta falla, habíamos informado que un atacante podría desencadenar la explotación del ataque a través de una página web maliciosa, a la que la víctima debe acceder con una de las versiones del navegador afectadas. La explotación exitosa de esta vulnerabilidad permitía al atacante ejecutar código arbitrario de forma remota en el navegador, con el fin de obtener los mismos permisos de usuario que la víctima.
