Adobe tiene previsto lanzar esta semana una actualización de seguridad importante para su lector Acrobat PDF y Flashplayer. La actualización tiene previsto corregir una vulnerabilidad crítica de ejecución de código remoto divulgada a principios de este mes, así como otras cuestiones de seguridad que vienen siendo informadas desde haces meses.
Pero Adobe no ha querido jugarse su prestigio por culpa de una vulnerabilidad seguridad crítica de explotación activa del reproductor Flash informada como del día cero y se ha decidido por tener listo un parche pare antes de lo previsto. El error de Adobe también afecta a los documentos PDF Acrobat Reader y componente que permitan reproducir contenido Flash incrustado en documentos PDF. Una pre-notificación de las próximas revisiones de seguridad también fue ya publicada por Wendy Polonia (PSIRT) responsable del Equipo de Incidentes Respuesta de Seguridad en el blog de los productos de Adobe. "Las actualizaciones tratarán temas claves de seguridad en los productos, incluyendo CVE-2010-1297 que se hace referencia en el asesoramiento de seguridad APSA10-01.
Estas actualizaciones de seguridad estarán disponibles para Windows, Macintosh y UNIX", escribió Wendy. También en relación con estas noticias, se lanzó una actualización para Flash Player la semana pasada. Esta fue la única plataforma que aún tenía una versión de Flash Player vulnerable a los errores de día cero que se describe en CVE-2010-1297. Las versiones actualizadas (10.1.53.64) para Windows, Mac y Linux fueron lanzadas el 11 de junio.
También vale la pena mencionar que el Boletín de Seguridad correspondiente a la última versión de Flash Player se ha actualizado con información que indica que el producto sigue siendo vulnerable a una serie de diferentes vulnerabilidades de código de ejecución remoto, aunque previamente ya está localizada. En el boletín puede leerse Se ha eliminado la referencia a CVE-2010-2188, que no se resolvió completamente con esta actualización,". La vulnerabilidad fue descubierta y comunicada por el investigador de seguridad Damián "LocalConnection damage memory" error, que se informó a través de la Iniciativa Cero TippingPoint's del programa Day (ZDI).