[SECURITY-L] CAIS-Alerta: Vulnerabilidades no Abobe Flash Player (APSB08-11)

CSIRT - UNICAMP security em unicamp.br
Ter Abr 22 10:51:17 -03 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidades no Abobe Flash Player (APSB08-11)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 18 Apr 2008 17:31:24 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta da Adobe, intitulado "APSB08-11 - Flash 
Player update available to address security vulnerabilities", que trata de 
multiplas vulnerabilidades recem-descobertas no Adobe Flash Player.

Foram descobertos erros de validacao de entrada nas versoes Flash Player 
que podem permitir a um atacante a execucao de codigo malicioso atraves da 
visita a uma pagina web, e-mail ou atraves da execucao de qualquer 
aplicativo que carregue um arquivo SWF no Adobe Flash Player.

Ja' existe disponivel na Internet codigo malicioso capaz de explorar estas 
vulnerabilidades. Assim, o CAIS recomenda fortemente que as medidas 
paliativas indicadas na secao "Correcoes Disponiveis" sejam adotadas, uma 
vez que os tocadores multimidia sao frequentemente vetores de ataques. 
Hoje arquivos Flash estao presentes em diversas aplicacoes web, como 
YouTube, videos em sites de noticias, jogos online, visualizacao de 
arquivos PowerPoint no Gmail, entre outras aplicacoes.

Esta atualizacao corrige uma vulnerabilidade divulgada no evento de 
seguranca CanSecWest, em que um laptop Windows Vista foi comprometido. 
Tratava-se de uma disputa (PWN2OWN 2008), em que 3 sistemas totalmente 
atualizados (Ubuntu 7.10, Microsoft Windows Vista Ultimate SP1 e OSX 
10.5.2) deveriam ser comprometidos com novas vulnerabilidades.


Sistemas afetados:

. Flash Player 9.0.115.0 e anteriores
. Flash Player 8.0.39.0 e anteriores


Correcoes disponiveis:

Recomenda-se fazer a atualizacao para a versao mais recente disponivel em:

. Flash Player 9.0.124.0
  http://www.adobe.com/go/getflashplayer/

Se por algum motivo nao for possivel instalar esta atualizacao em seu 
ambiente sugerimos algumas medidas paliativas:

. Flashblock - extensao para o navegador Mozilla Firefox que impede que 
  conteudo Flash seja carregado automaticamente.
  https://addons.mozilla.org/en-US/firefox/addon/433

. NoScript - extensao para o navegador Mozilla Firefox que controla a 
  execucao de scripts em sites. Esta extensao tambem controla a execucao 
  do plugin Flash Player.
  http://noscript.net/


Mais informacoes:

. Secunia: Adobe Flash Player "Declare Function (V7)" Heap Overflow
  http://secunia.com/secunia_research/2007-103/advisory/

. Adobe: Flash Player update available to address security vulnerabilities
  http://www.adobe.com/support/security/bulletins/apsb08-11.html

. US-CERT Vulnerability Notes for Adobe Security advisory APSB08-011
  http://www.kb.cert.org/vuls/byid?searchview&query=APSB08-011

. CanSecWest 2008 Pwn2Own Contest (Adobe PSIRT Blog 02/04/2008)
  http://blogs.adobe.com/psirt/2008/04/cansecwest_2008_pwn2own_contes_1.html

. Security Bulletins - April 2008 (Adobe PSIRT Blog 08/04/2008)
  http://blogs.adobe.com/psirt/2008/04/security_bulletins_april_2008_1.html

. CanSecWest PWN2OWN 2008
  http://cansecwest.com/post/2008-03-20.21:33:00.CanSecWest_PWN2OWN_2008


Identificadores CVE (http://cve.mitre.org): CVE-2007-5275, CVE-2007-6243,
                                            CVE-2007-6637, CVE-2007-6019,
                                            CVE-2007-0071, CVE-2008-1655,
                                            CVE-2008-1654


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSAkFH+kli63F4U8VAQFq+wP/U0DB3hiYya6bDu/9d3bnpacYmsBnmgrj
ds4onWV1D8j6JzpqiGuY22lnwF/97z1df4bfpcZQ6HSZooPX0uZTlSFEUeph7RcZ
804KaCy6RLDDeGnw6zUPB5gexN9z+l5TRGYkbQmIrAEFeUiqCl55TdS5eyHajJaG
lS0HxHgleEE=
=ILDm
-----END PGP SIGNATURE-----

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L