No hay dos sin tres: Adobe soluciona vulnerabilidad crítica en Flash (otra vez)

flash_player_logo2

En lo que parece ser un lento y agónico camino hacia su tumba, parece que Adobe Flash no quiere despedirse de nosotros sin batir el récord de software con más vulnerabilidades detectadas. Durante los últimos meses se han publicado parches de seguridad que solucionaban numerosas vulnerabilidades, algunas de ellas críticas, y ya se nos hace extraño que pase un mes sin un incidente de este tipo.

Agujero de seguridad crítico

La alerta sobre una nueva vulnerabilidad crítica en su software Flash la publicó Adobe a inicios de la semana pasada, y en esa misma alerta se avisaba de que los delincuentes ya estaban explotando esta vulnerabilidad  para propagar sus amenazas. Esta vulnerabilidad afectaba a las versiones 21.0.0.226 y anteriores de Adobe Flash Player para Windows, Linux, Mac OS y Chrome OS, provocando que un atacante pudiera tomar potencialmente el control del sistema afectado.

En respuesta a esta vulnerabilidad, Adobe publicó un par de días después su correspondiente parche, que corregía un total de 25 agujeros de seguridad, entre los que se encontraba la vulnerabilidad crítica mencionada. Tal y como anunció Adobe en su primer aviso, los delincuentes estaban aprovechando esta vulnerabilidad en campañas de malvertising en webs con muchas visitas, además de usarla en varios kits de exploits como Angler para propagar todo tipo de amenazas como el ransomware.

Precisamente, las vulnerabilidades en Flash son las favoritas de los delincuentes desde hace tiempo. Son tantos los usuarios que tienen instalada una versión vulnerable, y tan pocos los que la actualizan, que las amenazas pueden conseguir un éxito notable solo con aprovechar uno de los múltiples agujeros de seguridad existentes en el software de Adobe.

El negro futuro de Flash

No es ningún secreto que la edad dorada de Adobe Flash hace tiempo que pasó. Sus continuos problemas con la seguridad han provocado que, por fin, el contenido web que aún usaba este software decida migrar de una vez por todas al estándar HTML5. Los clavos en el ataúd de Flash vienen produciéndose desde hace meses, pero cada vez son empresas con más peso en Internet las que abandonan el barco.

La última de ellas es ni más ni menos que Google, quien ha anunciado que para el último trimestre de este año, HTML5 será usado por defecto en su navegador Chrome, en detrimento de Adobe Flash, salvo en aquellos sitios web con mucha relevancia, en los que el cambio se producirá de forma paulatina.

Esto equivale a sellar el destino de Flash, puesto que si la principal compañía tecnológica de Internet, poseedora del navegador más utilizado por los usuarios, le da la espalda, es cuestión de tiempo que este software pertenezca ya al pasado.

Conclusión

En cualquier caso, aún falta bastante tiempo para que Flash desaparezca definitivamente de nuestros sistemas. Estando instalado en millones de dispositivos, deberán pasar bastantes meses para que los usuarios migren definitivamente a HTML5 y desinstalen Flash. De hecho, es muy probable que durante bastantes años queden instalaciones residuales de Flash en equipos que no se actualicen con frecuencia, e incluso es posible que veamos ataques dirigidos en el futuro utilizando vulnerabilidades que ya fueron solucionadas años atrás.

Josep Albors

¿Afectado por el ransomware TeslaCrypt? ESET tiene la solución