Recomendación de seguridad para Flash Player | APSA18-01
ID del boletín Fecha de publicación Prioridad
APSA18-01 1 de febrero de 2018 1

Resumen

Existe una vulnerabilidad grave (CVE-2018-4878) en Adobe Flash Player 28.0.0.137 y versiones anteriores. El aprovechamiento de esta vulnerabilidad podría permitir que un intruso se hiciera con el control del sistema afectado.

Adobe tiene conocimiento de que existe una explotación de CVE-2018-4878 sin control y se está utilizando en ataques limitados y dirigidos a usuarios de Windows. Estos ataques utilizan documentos de Office con contenido Flash malicioso incrustado que se distribuyen por correo electrónico.

Adobe solucionará esta vulnerabilidad en una versión prevista para la semana del 5 de febrero.

Los usuarios también pueden consultar la información más reciente en el blog del equipo de respuesta a incidentes de seguridad relacionados con los productos de Adobe.

Versiones afectadas del producto

Producto Versión Plataforma
Motor de ejecución de escritorio de Adobe Flash Player 28.0.0.137 y versiones anteriores Windows, Macintosh
Adobe Flash Player para Google Chrome 28.0.0.137 y versiones anteriores Windows, Macintosh, Linux y Chrome OS 
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 28.0.0.137 y versiones anteriores Windows 10 y 8.1
Motor de ejecución de escritorio de Adobe Flash Player 28.0.0.137 y versiones anteriores Linux

Para comprobar la versión de Adobe Flash Player que tiene instalada en el sistema, acceda a la página sobre Flash Player, o haga clic con el botón derecho en contenido que se esté ejecutando en Flash Player y seleccione "Acerca de Adobe (o Macromedia) Flash Player" en el menú. Si utiliza varios navegadores, debe realizar esta comprobación en todos los navegadores que tenga instalados en el sistema.

Mitigaciones

A partir de la versión 27 de Flash Player, los administradores tendrán la capacidad de cambiar el comportamiento de Flash Player cuando se utilice Internet Explorer en Windows 7 y versiones anteriores preguntando al usuario antes de reproducir contenido swf.  Para obtener más información, consulte esta guía de administración.   

Los administradores también podrán implementar la vista protegida para Office.  La vista protegida abre los archivos marcados como potencialmente peligrosos en modo de solo lectura.  

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Uso posterior a su liberación Ejecución de código de forma remota Crítico CVE-2018-4878

Reconocimientos

Adobe desea agradecer KrCERT/CC por notificar el problema y colaborar con Adobe en la protección de nuestros clientes.