Microsoft corrige una vulnerabilidad del componente Flash en Bing

El fallo fue indentificado por los investigadores de Vulnerability Lab

  Vulnerabilidad del componente Flash en Microsoft Bing Service Application
Tres de los investigadores de Vulnerability Lab trabajaron juntos para encontrar y demostrar una vulnerabilidad crítica del componente Flash en la Aplicación Bing Service de Microsoft.
3 photosVIEW ALL 

Tres de los investigadores de Vulnerability Lab trabajaron juntos para encontrar y demostrar una vulnerabilidad crítica del componente Flash en la Aplicación Bing Service de Microsoft.

Los expertos en seguridad Subho Halder, Aditya Gupta y Dev Kar identificaron el error de gravedad crítica y han anunciado a Microsoft sobre ello el 7 de febrero de 2012.

Microsoft respondió 2 días más tarde y el 14 de marzo el fallo fue corregido.

Si no se hubiera resuelto, la vulnerabilidad del componente Flash remotamente explotable podría haber permitido que un atacante implementara comentarios maliciosos persistentes mientras que el usuario editaba o publicaba vía Flash.

El módulo vulnerable era Comments&Edit – Flash Input/Output cuando se cargaban archivos swf creados con Action Script.

Las capturas de pantalla y la prueba de concepto proporcionada por Vulnerability Lab nos muestran cuán fácilmente pueden ser explotados remotamente estos tipos de agujeros de seguridad, sin que se requiera mucha interacción de usuario.

Bing no es tan popular como Google, pero todavía hay mucha gente que utiliza el motor para realizar búsquedas y otras tareas. Por eso, cualquier vulnerabilidad puede tener un impacto devastador sobre los clientes del sitio si se queda no corregida.

Los investigadores de Vulnerability Lab han hecho un buen trabajo últimamente en encontrar debilidades y ayudar a los administradores y proveedores de sitios web a parchear sus productos.

Sus hallazgos más recientes incluyen vulnerabilidades de inclusión de archivos locales en la herramienta de monitoreo Pandora FMS 4.0.1, problemas cross-site scripting (XSS) en un sitio oficial de Adobe y múltiples vulnerabilidades de web en Wolf y Gazelle Anatasoft Content Management Systems (CMS).

También ayudaron a Barracuda a parchear una serie de vulnerabilidades web en su aplicación de telefonía CudaTel 2.0.029.1.

El 14 de marzo, Gretech publicó una actualización de seguridad para el popular GOM Player después de que Ucha Gobejishvili, uno de los miembros del laboratorio, identificó una vulnerabilidad de desbordamiento de búfer "Abrir URL" que podría haber permitido a un atacante causar que la aplicación se bloqueara e incluso ejecutar código arbitrario.

Photo Gallery (3 Images)

Gallery Image
01
Gallery Image
02
Gallery Image
03

Comments