Cuidado los que no tengáis Shockwave instalado y lo instaléis a instancia de sitios web poco fiables. Los que ya tengáis el player instalado, estáis a salvo. Más detalles en el comentario.
El problema, confirmado en Shockwave Player 8.x, Shockwave Player 9.x y Shockwave Player 10.x, ha sido descubierto por Peter Vreugdenhil, vulnerabilidad que podría ser aprovechada para obtener privilegios en el sistema de forma remota. La gravedad es extremadamente crítica.
Un error de límites en el control ActiveX del instalador puede ser aprovechado para causar un desbordamiento de búfer al pasarse a la sección de control valores extremadamente largos de dos parámetros específicos empleados en el proceso de instalación.
Esto permite la ejecución de código arbitrario, y requiere que el usuario sea cuestionado, en una página maliciosa, sobre si desea instalar Shockwave Player, lo cual no es nada descabellado, más bien, bastante frecuente. El problema, repito, sólo se presenta en la fase de instalación, nunca en Players ya instalados.
La recomendación a seguir es descargar Shockwave Player únicamente en el sitio oficial de Macromedia, obviando mensajes de instalación procedentes de sitios Web que soliciten la misma para mostrar contenidos.
No menos inteligente es recomendar la desactivación de ActiveX y el empleo de navegadores seguros, tal y como me ha comendado Felipe Alfaro
Comentarios
El problema, confirmado en Shockwave Player 8.x, Shockwave Player 9.x y Shockwave Player 10.x, ha sido descubierto por Peter Vreugdenhil, vulnerabilidad que podría ser aprovechada para obtener privilegios en el sistema de forma remota. La gravedad es extremadamente crítica.
Un error de límites en el control ActiveX del instalador puede ser aprovechado para causar un desbordamiento de búfer al pasarse a la sección de control valores extremadamente largos de dos parámetros específicos empleados en el proceso de instalación.
Esto permite la ejecución de código arbitrario, y requiere que el usuario sea cuestionado, en una página maliciosa, sobre si desea instalar Shockwave Player, lo cual no es nada descabellado, más bien, bastante frecuente. El problema, repito, sólo se presenta en la fase de instalación, nunca en Players ya instalados.
La recomendación a seguir es descargar Shockwave Player únicamente en el sitio oficial de Macromedia, obviando mensajes de instalación procedentes de sitios Web que soliciten la misma para mostrar contenidos.
No menos inteligente es recomendar la desactivación de ActiveX y el empleo de navegadores seguros, tal y como me ha comendado Felipe Alfaro