Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en instalador de Shockwave Player
 
VSantivirus No. 2056 Año 10, viernes 24 de febrero de 2006

 Vulnerabilidad en instalador de Shockwave Player
http://www.vsantivirus.com/vul-shockwave-230206.htm

Por Angela Ruiz
angela@videosoft.net.uy

Macromedia Shockwave Player, es un reproductor gratuito de animaciones en 3D, que permite entre otras cosas, disfrutar de miles de juegos hechos para ser reproducidos con este plugin.

Una vulnerabilidad recientemente identificada en la instalación del producto, puede ser explotada por atacantes remotos para tomar el control completo del sistema afectado.

El problema se debe a un error de límites que provoca un desbordamiento de stack (stack overflow). La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas.

El fallo es provocado por un ActiveX utilizado en la instalación del reproductor, que no controla adecuadamente los valores pasados en ciertos parámetros. Esto puede ser explotado por un atacante para ejecutar comandos en forma arbitraria, engañando al usuario para que visite un sitio web malicioso con contenido Shockwave, lo que hace que en caso de no tener instalado el Shockwave Player, se le solicite hacerlo.

Tenga en cuenta que la vulnerabilidad no existe en el producto en si mismo, sino en un ActiveX que se utiliza solo para la instalación.


Solución:

El vendedor ha corregido este error, modificando el ActiveX mencionado. Ninguna clase de acción específica se requiere por parte del usuario.


Referencias:

Macromedia Shockwave Player Installer Buffer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2006/0716

APSB06-02 Improper Memory Access Vulnerability
in Shockwave Player ActiveX installer
http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html

Macromedia
http://www.macromedia.com/es/


Créditos:

Peter Vreugdenhil






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS