Blog SegInfo - Segurança da Informação - Tecnologia - Notícias, Artigos e Novidades » adobe

Adobe corrige vulnerabilidade crítica no Flash, Reader e Acrobat

Arlindo Pereira — Wed, 23 Mar 2011 13:36:25 +0000

A Adobe publicou dois boletins de segurança sobre a vulnerabilidade 0-day que noticiamos no SegInfo semana passada, que estava sendo explorada através de arquivos Flash embutidos em planilhas do Excel. A Microsoft chegou até a publicar sua própria correção paliativa para a vulnerabilidade, usando uma ferramenta avançada de segurança, devido a sua criticidade.

No entanto, parece que as novas versões do Adobe Flash, Reader e Acrobat corrigiram a vulnerabilidade, segundo a Adobe. Veja:

Via: Security updates available for Adobe Flash Player (APSB11-05)
Security updates released for Adobe Reader and Acrobat (APSB11-06)

Posts Relacionados

Vulnerabilidade no OpenSSL

Vistumbler: examinador de redes WiFi com suporte a GPS

Lançado Oracle Linux 6

"Nós não fizemos o suficiente", afirma Ministro de Segurança do Reino Unido em entrevista sobre ciberataques

Vulnerabilidade 0-day no Adobe Flash, Reader e Acrobat

Arlindo Pereira — Tue, 15 Mar 2011 16:18:51 +0000

A Adobe publicou ontem um boletim de segurança para uma vulnerabilidade crítica no Adobe Flash que pode ser usada para tomar o controle de uma máquina atacada. O Flash está embutido nos softwares Acrobat e Reader, da própria Adobe, e no navegador Chrome, do Google – todos estão vulneráveis.

A Adobe está ciente de que exploits para a vulnerabilidade vem sendo utilizados. A forma de ataque é conhecida: através de arquivos Flash (.swf) embutidos em planilhas do Excel (.xls).

Uma correção será lançada para Windows, Mac OS X e Linux na próxima semana.

Os usuários do Adobe Reader X não estão vulneráveis ao exploit, visto que a nova tecnologia de sandboxing previne a execução de código fora do processo do software. É recomendado, portanto, o uso das versões mais novas do Adobe Reader (X), devido ao ganho considerável em segurança.

Mais informações no boletim de segurança oficial (APSA11-01/CVE-2011-0609) da Adobe.

Via: 0-day for Adobe Flash and Reader

Posts Relacionados

Apache 2.2.17 corrige 3 vulnerabilidades de segurança

Vulnerabilidade de inserção de scripts no Mailman

Malware Analyzer v3.0

Debdroid: sniffando redes rodando Debian em um celular Android

Firefox será atualizado na próxima terça-feira com correção de bugs CSRF e do Flash

Arlindo Pereira — Fri, 25 Feb 2011 12:00:30 +0000

O Mozilla Firefox terá uma atualização de segurança na próxima terça-feira (01/03) corrigindo duas falhas, sendo uma explorada através de um arquivo Flash malicioso, e a outra uma vulnerabilidade cross-site request forgery (CSRF). Serão atualizados as versões 3.5.X para 3.5.17 e 3.6.X para 3.6.14. Veja mais detalhes em Firefox/Planning/2011-02-23 – MozillaWiki.

Via Update: Firefox update will patch CSRF bug, Mozilla says – Computerworld.

Posts Relacionados

DOMinator: ferramenta para análise de DOMXss - ataques XSS que ocorrem localmente

Como desencorajar ciberataques?

Microsoft oferece 250 mil dólares de prêmio para inovações em tecnologia de segurança

Chamada de trabalhos para a conferência Hackers 2 Hackers

Adobe Shockwave 11.5.9.615 com múltiplas vulnerabilidades de corrupção de memória

Arlindo Pereira — Mon, 14 Feb 2011 10:20:09 +0000

Foram descobertas múltiplas vulnerabilidades de corrupção de memória no Adobe Shockwave Player 11.5.9.615 e versões anteriores para Windows e Mac. A exploração dessas vulnerabilidades pode permitir que um atacante remoto e não-autenticado execute código arbitrário em um sistema vulnerável. A falha pode ser explorada através de um documento HTML especialmente preparado, seja uma página web ou mensagem de email formatada ou com anexo, documento do Microsoft Office, ou qualquer outro documento que suporte conteúdo anexo do Shockwave. A vulnerabilidade foi corrigida no Adobe Shockwave Player 11.5.9.620. Veja mais detalhes em US-CERT Vulnerability Note VU#189929.

Posts Relacionados

Google adiciona notificação de site comprometido ao resultado das buscas

Proteja seu smartphone Android com aplicativos de segurança

Microsoft creditará Tavis Ormandy, pesquisador da Google por reportar bugs do Windows

HTTPS no Facebook suprimido por aplicações que não suportam

Adobe corrige 13 vulnerabilidades no Flash Player

Arlindo Pereira — Thu, 10 Feb 2011 11:50:31 +0000

A Adobe lançou na última terça-feira (08/02) uma nova versão do Adobe Flash Player, de número 10.2.152.26, corrigindo 13 vulnerabilidades nos 4 sistemas operacionais suportados (Linux, Macintosh, Solaris e Windows). As falhas permitiam que usuários maliciosos pudessem travar o sistema (possibilitando ataques de negação de serviço – DoS) e tomar controle do sistema afetado. Veja mais detalhes em Adobe – Security Bulletins:APSB11-02 – Security update available for Adobe Flash Player.

Posts Relacionados

War Games agora no formato online! Competição começará esse domingo as 19 horas p/ alunos e/ou ex-alunos da Academia @ClavisSecurity

Aplicativos do Android enviam credenciais sem segurança

Palestra de Análise com Padrões Abertos em Segurança de TI ( via @Eliane_Domingos)

Lançado Rails 3: confira as novidades de segurança

Atualizações de segurança do Adobe Reader e Acrobat

Arlindo Pereira — Wed, 09 Feb 2011 11:20:59 +0000

Ontem (08/02), além da Microsoft atualizar o Windows, foi dia também da Adobe realizar correções de segurança no Adobe Reader e no Acrobat X (10.0), 9.4.1 e anteriores. O boletim de segurança menciona 30 vulnerabilidades que podem ser utilizadas por usuários maliciosos para travar a aplicação e potencialmente tomar controle de sistemas afetados. As vulnerabilidades atingem as versões de todos os sistemas operacionais suportados (Mac, UNIX e Windows). Veja mais detalhes sobre cada uma das 30 vulnerabilidades em .

Posts Relacionados

Exército estadunidense migrando para cloud computing

Pesquisa mostra que mídia social apresenta risco para a segurança da informação

Corte suprema da California decide que policiais não precisam de mandato para revistar aparelhos celulares

Metasploit Unleashed Training Course

Pesquisa mostra que ataques ao Adobe Reader estão em alta

Arlindo Pereira — Mon, 07 Feb 2011 09:45:23 +0000

Uma pesquisa conduzida pela GFI Software revelou uma alta nos ataques direcionados a falhas no Adobe Reader. Dos 10 malwares mais utilizados por usuários maliciosos, 2 se utilizavam de exploits PDF.

Sete dos dez malwares detectados foram trojans, com os sete computando mais de um terço de todas as detecções do mês. Veja mais detalhes em Targeted attacks on Adobe Reader files rise.

Posts Relacionados

AVG descobre nova botnet "Mumba"

Lançamento do AVG 2011

Falha de segurança no WordPress 3.3 permite ataque XSS - Correção Disponível - Avalie e atualize para a versão 3.3.1.

Revista Segurança Digital em sua 3a edição ( via @_SegDigital )

Adobe introduz recurso no Flash Player para prevenir rastreamento do usuário, aumentando a privacidade

Arlindo Pereira — Fri, 14 Jan 2011 11:20:01 +0000

A Adobe introduziu na última versão do Flash Player um recurso para prevenir o rastreamento do usuário, aumentando a sua privacidade. O novo recurso, trabalhado em conjunto com 2 fabricantes de browser (Mozilla e Google), permite gerenciar os Local Shared Objects (LSO) através do próprio navegador. Os LSOs são objetos gerenciados pelo Flash, e podem ser usados por diversos propósitos; no caso mais relevante para segurança da informação, eles são usados como cookies.

A colaboração entre a Adobe e a Mozilla e o Google resultou na criação de uma API para limpar dados locais, que poderá ser utilizada por qualquer plugin que a implemente. Sendo assim, na nova versão do Flash, ao limpar os cookies no Firefox e no Chrome, os LSOs do Flash também serão excluídos, o que evita que sites façam rastreamento de visitantes indefinidamente.

Veja mais detalhes em Adobe changes Flash Player feature to prevent user tracking.

Posts Relacionados

Falhas de segurança no Skype podem colocar em perigo "usuários vulneráveis"

Hackers quebram segurança de sistemas quânticos

Adiamento dos alertas de segurança do software IOS da Cisco (março/2011)

Aumenta o número de invasões por usuários maliciosos em empresas de médio e grande porte

Palestra sobre teste e validação de conteúdo em Flash

Arlindo Pereira — Thu, 06 Jan 2011 21:26:05 +0000

Continuando a série de palestras da conferência OWASP AppSec USA 2010 (aqui e aqui), trazemos hoje a palestra Assessing, Testing & Validating Flash Content de Peleus Uhley, especialista de segurança da Adobe. No vídeo ele discorre sobre cross-site scripting (XSS), exame de código, políticas de cross-domain e como proteger melhor o servidor.

Peleus Uhley, Assessing, Testing & Validating Flash Content from AppSec USA 2010 on Vimeo.

Via PenTestIT Post Of The Day : Assessing, testing and validating Flash contentPosted. – PenTestIT.

Posts Relacionados

Atualização: DEFT Linux v6.1 - Live CD para forense digital

Aumentando a segurança de smartphones Android

Últimas vagas nos cursos de Teste de Invasão em Redes e Sistemas EAD e Fortalecimento de Servidores UNIX/Linux EAD da Academia Clavis Segurança da Informação

Google Chrome 8.0.552.224 corrige 5 vulnerabilidades de segurança - pesquisadores externos são remunerados

Vulnerabilidade no Adobe Photoshop CS5 12.0.1

Arlindo Pereira — Mon, 20 Dec 2010 11:11:34 +0000

Foi encontrada uma vulnerabilidade no Adobe Photoshop CS5 12.0.1 e anteriores para Windows. A exploração da falha permite que um atacante carregue bibliotecas arbitrárias fazendo um usuário abrir um arquivo localizado num compartilhamento WebDAV ou SMB. A Adobe recomenda que os usuários do Photoshop CS5 atualizem para a última versão através do menu Help > Updates. Veja mais detalhes em Adobe – Security Bulletins: APSB10-30 – Security aupdate available for Adobe Photoshop CS5.

Posts Relacionados

Oracle lançará terça-feira grande atualização de segurança com 66 correções para mais de 100 produtos

Relatório volume 10 da Inteligência de Segurança da Microsoft

OpenWall "Owl" Linux com mais ferramentas de segurança

Lançamento do BackTrack 5