El fallo día-cero está siendo explotado en ataques web.
Adobe ha publicado la actualización para Adobe Flash Player instalado en sistemas Windows, Macintosh y Linux que corrige un fallo crítico (CVE-2015-0311) en la versión 16.0.0.287 y anteriores del popular software de animación web. La explotación exitosa de este fallo día-cero podría hacer que Flash Player deje de funcionar y permitir a un atacante tomar el control del sistema afectado.
Al menos desde la semana pasada la vulnerabilidad día-cero ha sido objeto de ataques de explotación en Internet mediante la herramienta de códigos de explotación de vulnerabilidades conocido como Angler. Los ataques son del tipo drive-by-download y han sido dirigidos contra Internet Explorer y Firefox en Windows 8 y versiones menores. Los ataques drive-by-download no requieren que el usuario realice descargas, el malware llega a través del código de explotación que se activa al visitar el sitio web, instalando malware que puede ser utilizado con fines fraudulentos, de robo de identidad, de credenciales o para instalar más malware.
La nueva versión 16.0.0.296 de Flash Player está disponible de forma automática para los usuarios que tienen configurada la actualización automática para Flash Player Desktop Runtime. La descarga manual está disponible en el sitio web de Adobe.
En menos de una semana Adobe Flash Player ha tenido dos actualizaciones críticas de seguridad por vulnerabilidades día-cero descubiertas y que han sido objeto de ataques de explotación en Internet. El viernes pasado corrigió uno de ellos que podría ser utilizado para eludir las mitigaciones aleatorias de la memoria en Windows y que está siendo utilizado en ataques a las versiones anteriores de Flash Player.