A principios de la semana pasada se dio a conocer una vulnerabilidad en Adobe Flash Player que había sido utilizada por el grupo de programadores Hacking Team para instalar de forma remota en los ordenadores de sus «objetivos» las herramientas maliciosas que la compañía desarrollaba y vendía a empresas y gobiernos. Estas vulnerabilidades eran utilizadas de forma privada por estos programadores que, que de no haber sido por el ataque a la compañía, aún seguirían siendo desconocidas para los usuarios y para la propia Adobe.
Los investigadores de seguridad de la empresa FireEye han estado analizando los documentos filtrados de la empresa Hacking Team y han encontrado una segunda vulnerabilidad en Adobe Flash Player, que también ha sido reportada a Adobe. Esta vulnerabilidad ha recibido el nombre de CVE-2015-5122.
Esta vulnerabilidad afecta a todas las versiones de Adobe Flash Player hasta la fecha, tanto en Windows como en Mac OS X y Linux. Cuando los hackers explotaban esta vulnerabilidad el sistema fallaba y podía permitir a los atacantes tomar el control completo del sistema.
Adobe, por su parte, ha publicado unos nuevos boletines de seguridad donde informa sobre la vulnerabilidad CVE-2015-5122 y sobre un fallo de seguridad relacionado con ella (y probablemente utilizado por Hacking Team) que ha sido nombrado como CVE-2015-5123. Adobe considera estas vulnerabilidades como críticas y afirma que a lo largo de esta semana se publicarán nuevas versiones que solucionen ambos fallos de seguridad.
El ataque contra Hacking Team ha sido un duro (aunque merecido) golpe para la empresa, y gracias a él varias aplicaciones como Adobe Flash Player están siendo actualizadas para evitar que otras compañías o grupos de piratas informáticos puedan explotar estos fallos de seguridad para comprometer la seguridad y la privacidad de los usuarios conectados a la red.
Actualización:
El kit de exploits Angler ya permite explotar este fallo de seguridad en Internet Explorer. En las próximas horas otros kits añadirán este exploit a sus listas, por lo que es recomendable actualizar Adobe Flash Player tan pronto como Adobe publique su nueva versión para evitar caer en manos de piratas informáticos.
¿Qué opinas sobre el ataque a Hacking Team? ¿Crees que aparecerá nueva documentación con nuevas vulnerabilidades en otras aplicaciones?