Adobe lanza parche para CVE-2011-0609

Adobe ha lanzado un parche para CVE-2011-0609, solucionando el problema que mencionó en la advertencia de la semana pasada sobre una vulnerabilidad “zero-day” en Flash. Los productos Kaspersky Lab detectaban las variantes peligrosas como “Trojan-Dropper.MSExcel.SWFDrop” durante la semana pasada.

Mientras que la semana pasada cuestionábamos la utilidad de la funcionalidad de Flash en Excel, los atacantes enviaban correos electrónicos con este tipo de archivos precisamente. Las estadísticas de Kaspersky Security Network mostraron que habían muy pocos ataques distribuidos alrededor del mundo, lo que significa que los atacantes estaban lanzando ataques dirigidos para aprovechar esta vulnerabilidad.

Aunque pocos ataques estaban utilizando esta mezcla inusual de Microsoft Office y Flash, nos seguimos preguntando: ¿por qué Adobe tarda tanto en publicar los parches para sus productos?

Hemos visto que la actualización de Google Chrome para la misma vulnerabilidad de Flash apareció de inmediato el martes pasado, en parte debido a su estrecha integración con Flash. El equipo de desarrollo de Chrome alardea sobre su seguridad: está en el diseño de su navegador y la seguridad es una parte importante de sus procesos. Las actualizaciones de seguridad de Chrome son atinadas, rápidas y fáciles de instalar.

Pero el resto de los usuarios de Flash (casi el 99% de los ordenadores conectados a Internet, según Adobe), navegaba con un programa vulnerable, aunque se les había ofrecido algunas opciones complicadas mientras los atacantes buscaban al próximo blanco de sus ataques. Además, Flash es una de las aplicaciones más vulnerables de la red, lo que significa que los usuarios no han estado actualizando sus programas: las numerosas versiones de sus actualizaciones no son necesariamente atinadas, fáciles ni rápidas.

La caja de arena de Adobe fue un paso en la dirección correcta para Reader X. Pero los cibercriminales están respondiendo con mejoras en sus ataques. Una caja de arena retrasa la explotación, pero no la termina. Este mes, Stephen Fewer ganó pwn2own con un ataque que conectaba tres exploits para escapar de la caja de arena de Internet Explorer y comprometer un sistema Windows 7 que también estaba protegido con métodos DEP y ASLR. Mientras tanto, cualquier mejora y aumento de la velocidad de este inevitable proceso de parchado es bienvenido. Por favor, mantengan sus programas Adobe Reader, Flash y Acrobat actualizados con las últimas versiones.