informe de vulnerabilidades - incibe...con este informe, se pretende mostrar un resumen de...

INFORME DE

VULNERABILIDADES

1er

SEMESTRE 2012

1er Semestre 2012

CERT_INF_Vulnerabilidades_2012_semestre_1.doc 2

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

../../../Accesibilidad%20%3e%20Formación%20%3e%20Manuales%20y%20Guías

http://www.inteco.es/


La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible

en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es

http://creativecommons.org/licenses/by-nc-sa/3.0/es/

http://www.inteco.es/


INDICE

ÍNDICE DE ILUSTRACIONES 6

1. INTRODUCCIÓN 9

2. VULNERABILIDADES 10

2.1. Nivel de severidad de las vulnerabilidades 10

2.2. Productos más afectados 11

2.3. Fabricantes más afectados 12

2.4. Vulnerabilidades más comunes según su tipo 13

2.4.1. Use After Free (CWE-416) 14

2.4.1.1. Encuadre de la vulnerabilidad 14

2.4.1.2. Efectos 15

2.4.1.3. Consecuencias de su explotación 15

2.4.1.4. Fases implicadas y mitigación 16

2.5. Vulnerabilidades según el sistema operativo en pc 17

2.6. Vulnerabilidades por navegadores 18

3. BUENAS PRÁCTICAS. ACTUALIZACIÓN DE ALGUNOS PRODUCTOS DE

ADOBE SYSTEMS 19

3.1. Adobe Reader 19

3.1.1. Actualización Adobe Reader 20

3.1.2. Versión instalada. 22

3.1.2.1. Windows XP. 22

3.1.2.2. Windows Vista 22

3.1.2.3. Windows 7 24

3.2. Adobe Flash Player. 26

3.2.1. Actualización de Flash Player 26

3.2.1.1. Desde Windows XP 27

3.2.1.2. Desde Windows Vista y 7 28

3.2.2. Versión instalada 30

3.2.2.1. Windows XP 30

3.2.2.2. Windows Vista. 32

3.2.2.3. Windows 7 34

3.3. Adobe Shockwave. 36

3.3.1. Actualización ShockWave 36

3.3.2. Versión instalada. 38


3.4. Adobe AIR 39

3.4.1. Actualización AIR 39

3.4.2. Versión instalada 39

3.4.2.1. En Windows XP 39

3.4.2.2. En Windows Vista 40

3.4.2.3. En Windows 7 43


ÍNDICE DE ILUSTRACIONES

Ilustración 1. Vulnerabilidades por nivel de riesgo ................................................................10

Ilustración 2. Productos más afectados por las últimas vulnerabilidades ..............................11

Ilustración 3. Fabricantes más afectados por las últimas vulnerabilidades ...........................12

Ilustración 4. Vulnerabilidades más comunes por tipo. .........................................................13

Ilustración 5. Estructura del tipo de vulnerabilidad Use After Free .......................................14

Ilustración 6. Vulnerabilidades por sistema operativo para PC .............................................17

Ilustración 7. Vulnerabilidades por navegador ......................................................................18

Ilustración 8 : Logotipo de Adobe Systems ...........................................................................19

Ilustración 9 Logotipo de Adobe Reader X ..........................................................................19

Ilustración 10 Menú de configuración de actualizaciones en Adobe Reader X ....................20

Ilustración 11 Descarga de Adobe Reader ...........................................................................21

Ilustración 12 Búsqueda de actualizaciones desde Adobe Reader X ...................................21

Ilustración 13 Versión de Adobe Reader instalada ...............................................................22

Ilustración 14 Versión de Adobe Reader desde «Agregar o quitar programas…» en XP ......22

Ilustración 15 Acceso al menú «Programas» desde Windows Vista .....................................23

Ilustración 16 Acceso a la opción «Programas y características» desde Windows Vista ......23

Ilustración 17. Comprobación de la versión de un programa instalado .................................23

Ilustración 18. Configuración de columnas a visualizar en «Programas y características» ...24

Ilustración 19. Columnas a visualizar en vista «Detalles» .....................................................24

Ilustración 20. Acceso a «Programas y características» en Windows 7 ................................24

Ilustración 21. Comprobación de la versión de los programas instalados en Windows 7 ......25


Ilustración 22. Configuración de columnas visibles en «Programas y características» .........25

Ilustración 23. Comprobación de la versión en una vista que no sea «Detalles» ..................25

Ilustración 24. Logotipo de Flash Player ...............................................................................26

Ilustración 25. Selección del tipo de actualización en Flash Player ......................................26

Ilustración 26. Acceso a la configuración de Flash Player en Windows XP ..........................27

Ilustración 27. Opción de actualización de Flash Player en Windows XP .............................27

Ilustración 28. Acceso a la configuración de Flash Player desde Windows Vista..................28

Ilustración 29. Otra forma de acceso a la configuración de Flash desde Vista .....................28

Ilustración 30. Configuración de las actualizaciones de Flash Player en Windows Vista ......29

Ilustración 31. Descarga de Flash Player .............................................................................29

Ilustración 32. Comprobación Web de la versión de Flash Player instalada .........................30

Ilustración 33. Icono de configuración de Flash Player desde el Panel de control ................31

Ilustración 34. Pestaña «Avanzado» de la configuración de Flash en XP .............................31

Ilustración 35. Versión Flash instalada desde la lista de programas en XP ..........................32

Ilustración 36. Icono de configuración de Flash Player desde el Panel de control ................32

Ilustración 37. Pestaña «Avanzado» de la configuración de Flash en Vista ..........................33

Ilustración 38. Versión Flash instalada desde la lista de programas en Vista .......................33

Ilustración 39. Mostrar la columna versión en la lista de programas en Vista .......................33

Ilustración 40. Listado de columnas a visualizar ...................................................................34

Ilustración 41. Versiones de Flash en «Programas y características» ..................................34

Ilustración 42. Versión de Flash instalada desde la opción seguridad del panel de control ..34

Ilustración 43. Versión de Flash Player instalada desde una vista que no es «Detalles» ......35

Ilustración 44. Logotipo de Shockwave player ......................................................................36


Ilustración 45. Descarga de Shockwave Player ....................................................................37

Ilustración 46. Descargar Shockwave Player para otras plataformas ...................................37

Ilustración 47. Petición de instalación de un complemento, firmado digitalmente .................37

Ilustración 48. Comprobación Web de la versión instalada ...................................................38

Ilustración 49. Versión de Shockwave desde «Programas y características» .......................38

Ilustración 50. Versión de Shockwave instalada en Windows 7 y Vista ................................38

Ilustración 51. Logotipo de AIR .............................................................................................39

Ilustración 52. Descarga de Adobe AIR ................................................................................39

Ilustración 53. Versión instalada de AIR desde «Agregar o quitar p…» en XP .....................40

Ilustración 54. Versión de Adobe AIR desde el directorio de instalación en XP ....................40

Ilustración 55. Accediendo al menú programas en Windows Vista .......................................41

Ilustración 56. Accediendo a programas y características en Windows Vista .......................41

Ilustración 57. Versión de los programas desde vista «Detalles» en Vista............................41

Ilustración 58. Configuración de columnas visibles en vista «Detalles» en Vista ..................42

Ilustración 59. Selección de columnas visibles para la vista «Detalles» ...............................42

Ilustración 60. Versión Adobe AIR desde la carpeta de instalación en el disco duro ............42

Ilustración 61. Barra de dirección que mostrará la ruta de AIR .............................................43

Ilustración 62. Acceso a programas y características en Windows 7 ....................................43

Ilustración 63. Configuración de las columnas visibles en vista «Detalles» en 7 ..................43

Ilustración 64. Versión de Adobe AIR instalada desde otra vista distinta a «Detalles» .........44

Ilustración 65. Propiedades del fichero de instalación de AIR instalada (Windows 7) ...........44

Ilustración 66. Versión del fichero de instalación de Adobe AIR ...........................................45


1. INTRODUCCIÓN

Fruto del acuerdo de colaboración con el NIST (National Institute of Standards and

Technology), INTECO cuenta con un completo repositorio de más de 51.000

vulnerabilidades traducidas al castellano, cuyo fin es informar y advertir a los usuarios sobre

los fallos de Seguridad existentes en los sistemas operativos, hardware y otro tipo de

aplicaciones.

Con este informe, se pretende mostrar un resumen de información de carácter general sobre

las vulnerabilidades aparecidas en el primer semestre de 2012, expresado en gráficas, para

ofrecer una visión global de la actividad generada durante el periodo de tiempo mencionado.

También, es objetivo de este informe concienciar de la importancia de las actualizaciones de

seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades,

como vectores de ataque del software malicioso actual.

Desde INTECO-CERT, se tata de fomentar una cultura de seguridad siguiendo unas

instrucciones básicas, que serán las que deban fundamentar esa seguridad, además de

crear en el usuario usa serie de hábitos para que, de forma natural, los utilice y mejore su

experiencia en Internet.

En cada informe, se pretende resaltar los aspectos que se consideran oportunos con el fin

de aportar un valor especial al mismo. Además, se trata de difundir una serie de datos y de

interpretarlos así como de proporcionar los conocimientos necesarios acerca de esos

aspectos, siempre desde el objetivo de la prevención.

Los datos originales procesados en INTECO-CERT se obtienen de su buscador de

vulnerabilidades, que es la traducción al español de las vulnerabilidades que se publican en

el NIST.

http://cert.inteco.es/vulnSearch/Actualidad/Actualidad_Vulnerabilidades/buscador_vulnerabilidades/

http://cert.inteco.es/vulnSearch/Actualidad/Actualidad_Vulnerabilidades/buscador_vulnerabilidades/


2. VULNERABILIDADES

2.1. NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES

La siguiente gráfica muestra el número de vulnerabilidades documentadas en

http://cert.inteco.es y su nivel de severidad a lo largo del semestre, periodo durante el cual

se emitieron un total de 2112. Los niveles de severidad de las vulnerabilidades publicadas

aparecen en la siguiente figura.

Ilustración 1. Vulnerabilidades por nivel de riesgo

Según el gráfico anterior es posible observar que, durante todo el periodo analizado, las

vulnerabilidades que más aparecen son las correspondientes al nivel de gravedad alta y

media, en línea con informes anteriores.

Se puede hacer una lectura un poco pesimista desde el punto de vista de que, si el mayor

número de vulnerabilidades tienen un nivel de riesgo alto o medio, su explotación por parte

de atacantes podría provocar efectos graves. También es un indicador de la importancia de

las actualizaciones de seguridad, como mecanismo de protección.

http://cert.inteco.es/


2.2. PRODUCTOS MÁS AFECTADOS

La siguiente figura muestra los productos más afectados por las vulnerabilidades del

semestre. Hay que destacar que sólo aparecen aquellos productos afectados por el mayor

número de nuevas vulnerabilidades.

Ilustración 2. Productos más afectados por las últimas vulnerabilidades

En este semestre, repite Google Chrome en el primer puesto destacado, aunque con menos

diferencia respecto a los demás productos que en el semestre anterior.

Hay que destacar la subida de sistemas operativos, Linux e IOS, lo que implica que hay que

replantearse el mito de que hay sistemas operativos que son más seguros y, en todos los

casos, utilizar las actualizaciones.

También hay que señalar que se ha colocado en el tercer puesto las vulnerabilidades de un

sistema operativo para dispositivos móviles de Apple. No parece tan importante el hecho de

que sea de Apple, sino que es un sistema operativo de dispositivos móviles, lo que puede ir

dando pistas sobre qué productos se está profundizando en su investigación. También,

implica que se ha de cuidar la seguridad de estos dispositivos (no sólo de Apple, también

Android, Windows Mobile y demás dispositivos móviles), ya que los cibercriminales están

escribiendo malware para este tipo de dispositivos, motivado por el aumento de estos,

además de por el aumento de líneas de datos o tendencias como BYOD.

Al igual que en el anterior semestre, los navegadores también están arriba y eso, unido a

que la mayor parte son multiplataforma, hace que sean un «objetivo de primera» para los

ciberdelincuentes.


2.3. FABRICANTES MÁS AFECTADOS

La figura muestra los diez fabricantes más afectados por las vulnerabilidades detectadas

durante el trimestre.

Ilustración 3. Fabricantes más afectados por las últimas vulnerabilidades

Aunque en el primer puesto este semestre aparece Cisco, hay que resaltar que, de 10

fabricantes, 8 repiten en el «Top Ten».

Los primeros fabricantes son los que más productos tienen en el mercado. De esta forma es

normal que por el número de vulnerabilidades totales, figuren en los primeros puestos.

También hay que hacer notar la importancia de que en el «ranking» aparece un fabricante

«no habitual», Siemens. El motivo es simple, actualmente se está poniendo un foco de

atención muy importante sobre la protección de infraestructuras críticas y Siemens fabrica

componentes electrónicos para sistemas de automatización, estando muy implicado en este

tema. Estos productos, que ahora mismo están controlados por ordenadores y conectados a

líneas de comunicación, están expuestos a intentos de intrusión y ataques a través de

Internet. Por ese motivo, se está investigando su seguridad de forma más profunda, lo que

implica que podrían continuar apareciendo más vulnerabilidades en este tipo de sistemas.


2.4. VULNERABILIDADES MÁS COMUNES SEGÚN SU TIPO

El siguiente gráfico muestra los tipos de vulnerabilidades más comunes registradas en el

semestre y la proporción que, cada uno de ellos, representa sobre el total de

vulnerabilidades registradas.

Ilustración 4. Vulnerabilidades más comunes por tipo.

El igual que en el caso de los fabricantes, los tipos de vulnerabilidad repiten respecto del

informe pasado, aunque hay alguna variación de puesto, no hay ninguna muy llamativa.

También son prácticamente iguales los porcentajes de tipos de vulnerabilidad.

Siguen teniendo una gran importancia las vulnerabilidades relacionadas con la navegación

por Internet y la gestión de la memoria, que en porcentaje son la mayoría de las presentes

en el gráfico.

Como conclusión hay que darle a la navegación por Internet la importancia que tiene, esto

implica navegadores actualizados y alguna herramienta de control de las páginas web por

las que se navega.


2.4.1. Use After Free (CWE-416)

2.4.1.1. Encuadre de la vulnerabilidad

Ilustración 5. Estructura del tipo de vulnerabilidad Use After Free

En la estructura de CWE, esta vulnerabilidad se encuadrada dentro del grupo de

Localización, Código, Código fuente, Indicadores de calidad del código pobre, Errores de

gestión de recursos (de la memoria), Uso después de la liberación.

Esto implica que se le considera un problema de gestión de recursos, en este caso la

memoria, lo que indica que el código fuente no tiene la calidad necesaria, para poder

desarrollar su trabajo utilizando un nivel de seguridad suficientemente alto. Este problema

está agravado por la dificultad de detectarlo, incluso utilizando herramientas de análisis y

validación de código.

La vulnerabilidad surge de la posibilidad de reutilizar una dirección de memoria, después de

haber sido liberada. Esto podría ocurrir, por ejemplo, si declaramos un puntero P1, se

reserva memoria para él, se usa y posteriormente se libera esa dirección de memoria. Si a

continuación, se declara otro puntero P2, que se le asigne la misma memoria que a P1, P2


podría acceder al contenido de P1, si no se ha borrado (inicializado o asignado). También,

se puede dar el caso de que P2 tome valores y, por volver a utilizar P1, se pueda acceder al

valor de P2, e incluso modificarlo.

Los lenguajes más implicados en este tipo de problema son C y C++.

2.4.1.2. Efectos

La posibilidad de usar memoria que se ha liberado previamente puede tener varias

consecuencias adversas, desde la corrupción de datos correctos hasta la ejecución de

código arbitrario, dependiendo de la creación de instancias y del instante del fallo.

La forma más sencilla para dañar datos puede ocurrir cuando el sistema reutiliza la memoria

previamente liberada. Los errores de "Uso después de liberación" normalmente provienen

de dos causas, que se pueden simultanear:

a) Condiciones de error y otras circunstancias excepcionales

b) confusión sobre que parte del programa es responsable de liberar memoria

En este escenario, la memoria en cuestión es apuntada por otro puntero válido, después de

haber sido liberada, se vuelve a usar el puntero original y apunta a algún sitio con la nueva

asignación. Como se cambian los datos, se corrompe la memoria válida usada, lo que

induce a un comportamiento indefinido del proceso.

Si los nuevos datos asignados tratan de mantener una clase, en C++ por ejemplo, varios

punteros a funciones pueden estar dispersos en la memoria dinámica, si uno de esos

punteros se sobrescribe, con una dirección válida a una «shellcode», se podría ejecutar

código en esta máquina.

2.4.1.3. Consecuencias de su explotación

Las consecuencias más comunes son:

- Problemas de integridad. Debido a una modificación de la memoria, se podrían

corromper datos válidos.

- Problemas de disponibilidad. Este tipo de problema puede desembocar en una

Denegación de Servicio (DoS, Denial of Service), salida o reinicio de la aplicación

cuando se usa un fragmento de datos previamente liberado y que se ha manipulado.

- Problemas de integridad, confidencialidad y disponibilidad. Si se introduce un valor,

antes de la consolidación del fragmento, es posible aprovechar una vulnerabilidad

"write-what-where" (escribir algo -por ejemplo código- en alguna posición de

memoria) para ejecutar código.

También, se han observado otras consecuencias como:

- Cerrado de conexión durante una transmisión


- Descarga de un objeto al que se está accediendo mediante otra funcionalidad

- Documentos HTML con las etiquetas mal anidadas

- Problemas en objetos ActiveX, por enviarle un argumento erróneo a un método

- realloc genera nuevos búferes y punteros, pero los punteros previos aún se

mantienen, permitiendo el acceso

- Condición de carrera por una gestión no adecuada de la transición de página en un

cliente web mientras un applet se está cargando

- Desreferencia a puntero nulo

- Desbordamiento de entero que provoca una use-after-free

- Problema en un servidor de correo al gestionar cabeceras largas

- Asignaciones de valores erróneos a ciertas propiedades producidos por use-after-

free

- Hilo que ha accedido a memoria cuando otro la ha liberado

- Problemas en navegador web, debido a no inicializar la memoria

2.4.1.4. Fases implicadas y mitigación

Este tipo de vulnerabilidad afecta a dos etapas del desarrollo, por una parte a la de

Arquitectura y diseño y por otra a la de Implementación.

La forma de evitar este tipo de vulnerabilidad es, en función de la fase en la que use:

- Arquitectura y diseño. Usar lenguajes que gestionen de forma automática la

memoria.

- Implementación. Inicializar siempre los punteros, así como también, en el momento

que se liberen, fijar su valor a NULL. También, el uso de elementos de datos complejos

disminuye la utilidad de esta vulnerabilidad. También, se deben inicializar los punteros

inmediatamente después de una deslocalización, además de no permitir el acceso a

memoria liberada.


2.5. VULNERABILIDADES SEGÚN EL SISTEMA OPERATIVO EN PC

El siguiente gráfico muestra los datos correspondientes a los sistemas operativos,

monitorizados por el elevado número de equipos que los utilizan.

Ilustración 6. Vulnerabilidades por sistema operativo para PC

Igual que el semestre anterior, el ranking de vulnerabilidades por sistema operativo lo

encabeza Linux, seguido por Windows y por último Mac. Al igual que se comentó en el

apartado de vulnerabilidades por fabricante, según estos datos, no se puede hablar de

sistemas operativos que sean «seguros». Debemos hablar de sistemas que, este semestre,

han presentado menos vulnerabilidades, pero todos tienen, y si hay vulnerabilidades, hay

posibilidad de que sean usadas por malware programado para aprovecharlas.

El número de vulnerabilidades de sistemas operativos, no es grande comparado con el total

de vulnerabilidades y, además, ha disminuido el número de ellas comparando con el

semestre anterior.


2.6. VULNERABILIDADES POR NAVEGADORES

El siguiente gráfico muestra los datos correspondientes a las vulnerabilidades reportadas

para cada navegador monitorizado.

Ilustración 7. Vulnerabilidades por navegador

En cabeza sigue Google Chrome, claramente destacado del resto, seguido de Mozilla

Firefox, Opera e Internet Explorer (Microsoft), que tienen un número de vulnerabilidades

muy parecido.

La diferencia entre navegadores es muy importante, siendo bastante destacado que Chrome

presente más vulnerabilidades que el resto de navegadores juntos. Esperemos que en el

siguiente informe estos valores vuelvan a ser de un orden similar y que sigan disminuyendo,

en la medida que lo han hecho el resto, ya que, de la «salud» del navegador depende en

buena medida la «salud» del sistema.


3. BUENAS PRÁCTICAS. ACTUALIZACIÓN DE ALGUNOS

PRODUCTOS DE ADOBE SYSTEMS

Con este informe de vulnerabilidades, no sólo se pretende informar sobre cuántas se han

reportado y mostrar algunas clasificaciones, sino que también se pretende concienciar sobre

las medidas que debemos utilizar para mejorar la seguridad de los sistemas.

Dentro de las consignas de seguridad de INTECO-CERT, se tienen como base de trabajo

los siguientes tres conceptos:

- actualizar

- proteger

- prevenir

En este informe concreto le ha tocado al primero, ACTUALIZAR, y se explicará como

actualizar algunos productos de Adobe Systems.

Ilustración 8 : Logotipo de Adobe Systems

Adobe Systems es una empresa desarrolladora de software que tiene en el mercado varios

productos gratuitos que son punteros en su área.

3.1. ADOBE READER

Ilustración 9 Logotipo de Adobe Reader X

Por un lado es la compañía que desarrollo el Adobe Reader, software líder para leer ficheros

PDF (ISO 19005-1:2005). Éste es un formato compuesto (imagen vectorial, mapa de bits y

texto) de intercambio de documentos. Es multiplataforma y es el formato más usado para

visualizar e imprimir documentos, independientemente de la plataforma con la que se

visualice o imprima.


Este formato, es capaz de almacenar también contenidos multimedia, enlaces, formularios y

miniaturas de páginas. Esto implica que al formato le pueden afectar vulnerabilidades de los

componentes que permite incluir.

También, permite la inclusión de firmas digitales (PaDES, PDF Advance Electrónic

Signature), lo que le ofrece un grado de seguridad adecuado para el intercambio de

documentación entre empresas, o entre empresas y la administración. Hay que señalar que

se pueden generar ficheros PDF utilizando software que son simuladores de impresoras, así

que cualquier contenido que se pueda tener en papel se puede tener en este formato.

Por estos motivos, es el formato de intercambio de ficheros más usado en Internet y, ésta

difusión en todas las plataformas, tipos de usuario y usos, hace que sea un objetivo

prioritario de los cibercriminales, por lo que la búsqueda de nuevas vulnerabilidades que se

puedan explotar, para realizar acciones maliciosas en el equipo, está a la orden del día.

3.1.1. Actualización Adobe Reader

Así pues, es muy importante disponer de la última versión de este software para asegurarse

de que no se pueda explotar una vulnerabilidad que ya ha sido solucionada. Para actualizar

este software, Adobe incorporó la posibilidad, desde la versión 9 del producto, de que se

actualizara de forma automática.

En la versión 9.3.2, publicada en Abril de 2010 (Aviso de seguridad de INTECO-CERT:

Actualización de Adobe Reader y Acrobat), Adobe incorporó en sus programas Adobe

Reader y Adobe Acrobat las actualizaciones automáticas, permitiendo configurar esta

opción. Salvo alguna excepción, estas actualizaciones deben estar configuradas para

hacerse de forma automática. Para ello, y desde el programa Adobe Reader, en el menú

principal se selecciona «Edición» y a continuación «Preferencias». A continuación, de las

opciones de la columna izquierda se selecciona la opción «Actualizador» y en la parte de la

derecha aparecerán las posibles opciones.

Ilustración 10 Menú de configuración de actualizaciones en Adobe Reader X

http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Actualizacion_Adobe_Reader_Acrobat_20100414

http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Actualizacion_Adobe_Reader_Acrobat_20100414


- Instalar automáticamente las actualizaciones. Es la opción que deberíamos tener

seleccionada, de forma que cuando se detecte una actualización de seguridad, se

descargará, actualizando el programa de forma automática.

- Descargar automáticamente las actualizaciones, pero permitir al usuario elegir el

momento de su instalación. Esta opción busca si hay actualizaciones y, en caso

afirmativo, la descarga de forma automática, pero no la instala. Avisa al usuario de

que está disponible y muestra un icono en la lista de tareas que permite instalarla en

el momento que nosotros determinemos.

- No descargar ni instalar de forma automática las actualizaciones. Esta opción, es

muy arriesgada y solo se aconseja en casos muy concretos, por ejemplo en sistemas

donde la instalación de software se hace de forma centralizada.

En ordenadores de uso particular, en equipos profesionales no sujetos a políticas de

instalación de software, debería estar seleccionada la primera opción para que se instale, en

el momento que haya una actualización de seguridad, minimizando el riesgo de infección.

También, se puede actualizar de forma manual desde la página Web de Adobe

http://www.adobe.com/es, desde el enlace «Descargas», haciendo clic en el enlace al

producto ADOBE READER.

Ilustración 11 Descarga de Adobe Reader

También, se puede actualizar el producto desde la propia aplicación, desde el menú

principal, seleccionando la opción Ayuda>>Buscar actualizaciones.

Ilustración 12 Búsqueda de actualizaciones desde Adobe Reader X

http://www.adobe.com/es


3.1.2. Versión instalada.

Para saber la versión que está instalada en el sistema, hay varias posibilidades. Desde la

propia aplicación, en el menú principal se selecciona: Ayuda y Acerca de Adobe y aparece la

versión instalada. Esta opción es válida en todos los sistemas.

Ilustración 13 Versión de Adobe Reader instalada

Otra forma es desde el panel de control, accediendo a la lista de programas instalados, tal y

como se detalla a continuación para cada sistema operativo:

3.1.2.1. Windows XP.

Mediante el Botón de inicio >> Panel de control y después en Agregar o quitar programas.

En la aplicación, aparece la versión a continuación del nombre.

Ilustración 14 Versión de Adobe Reader desde «Agregar o quitar programas…» en XP

3.1.2.2. Windows Vista

Al igual que desde Windows XP, se puede mostrar desde la lista de programas instalados.

Para ello, acceder a Menú principal>>Panel de control y después a la opción Programas:


Ilustración 15 Acceso al menú «Programas» desde Windows Vista

Se selecciona la opción «Programas y características»

Ilustración 16 Acceso a la opción «Programas y características» desde Windows Vista

En la pantalla que aparece, en la vista «Detalles», está la columna versión, donde aparecen

las versiones de los programas instalados. También, aparece la versión en el nombre de

esta aplicación en concreto.

Ilustración 17. Comprobación de la versión de un programa instalado

En caso de no aparecer esta columna, se puede obtener haciendo clic derecho en la lista de

programas, y seleccionando en el menú contextual la opción «Ordenar por» o «Agrupar

por» (cualquiera de las dos sirve) y, del segundo menú, se selecciona la opción «Mas..»


Ilustración 18. Configuración de columnas a visualizar en «Programas y características»

Aparece la lista de columnas que se pueden mostrar, al menos se seleccionará «Versión»

Ilustración 19. Columnas a visualizar en vista «Detalles»

3.1.2.3. Windows 7

Desde el Menú principal, Panel de control, Programas, Programas y características, aparece

la lista de programas instalados, si estamos en la vista «Detalle» y tenemos visible la

columna «Versión» nos la mostrará.

Ilustración 20. Acceso a «Programas y características» en Windows 7


Aparece la lista de programas instalados, si se está en modo de vista «Detalles», una

columna es «Versión»

Ilustración 21. Comprobación de la versión de los programas instalados en Windows 7

Al igual que en Windows Vista, en caso de no aparecer esta columna, se puede configurar

para que la muestre, estando en modo vista «Detalle», se hace clic derecho sobre la lista de

programas, y del menú contextual, se selecciona «Ordenar por» o «Agrupar por» (una de las

dos) y del segundo menú se selecciona la opción «Más…»

Ilustración 22. Configuración de columnas visibles en «Programas y características»

En otras vistas, si se selecciona un programa, en la parte inferior aparece información sobre

ese programa, entre esa información aparece la versión.

Ilustración 23. Comprobación de la versión en una vista que no sea «Detalles»


3.2. ADOBE FLASH PLAYER.

Ilustración 24. Logotipo de Flash Player

Aunque coloquialmente se conoce como Flash, hay que distinguir entre el software de

creación/edición de este tipo de fichero (productos de pago), el fichero creado (ficheros con

la extensión .SWF) y el reproductor (gratuito). En este informe, nos referimos

exclusivamente al reproductor del formato SWF (Small Web Format o anteriormente

ShockWave Flash).

El reproductor Flash Player se utiliza para reproducir ficheros con formato SWF que pueden

contener animaciones vectoriales 2D y audio, además de contar con posibilidades de

interacción. Incorpora soporte al lenguaje de programación ActionScript, lo que aumenta sus

capacidades Web de forma notable.

Este tipo de contenido, es usado de forma muy amplia en Internet, por lo que muchos

sistemas operativos y dispositivos lo incorporan, y aunque está en declive, el número es

sustancialmente grande, por lo que, al igual que el visor Adobe Reader, es un objetivo

potencial para los cibercriminales.

3.2.1. Actualización de Flash Player

Desde la actualización a la versión 11.2 del Flash Player, Adobe incorporó la posibilidad de

establecer las actualizaciones automáticas para este reproductor. Anteriormente, buscaba

actualizaciones y cuando encontraba alguna, avisa al usuario de su existencia, dando la

posibilidad de instalarla. Desde esta actualización, ya se puede hacer de forma automática.

Ilustración 25. Selección del tipo de actualización en Flash Player

Las tres opciones que presentaba ese menú son las mismas que para el Adobe Reader:

- Instalar las actualizaciones automáticamente

- Notificar cuando haya actualizaciones

- No buscar actualizaciones nunca


En caso de no haber marcado la opción de Instalar las actualizaciones de automáticamente,

para poder configurarlas ahora, hay que abrir en el programa (desde el panel de control), y

en la ficha «Avanzado», dentro del apartado «Actualizaciones» aparecen las tres opciones

anteriormente citadas, podemos activar la que consideremos más adecuada, y al igual que

el Adobe Reader, se aconseja la primera de ellas (automática) a menos que nuestro equipo

esté en una red en la que haya políticas de distribución de software.

3.2.1.1. Desde Windows XP

Si cuando se hizo esa actualización no se configuró de forma adecuada, para modificar esa

configuración, desde XP hay que abrir el programa Flash Player desde «Inicio», «Panel de

control», se hace doble clic en el icono del reproductor (Flash player).

Ilustración 26. Acceso a la configuración de Flash Player en Windows XP

Y en función de la necesidad se selecciona la opción adecuada, según el criterio aconsejado

desde INTECO-CERT, y salvo el caso de sistemas con actualizaciones centralizadas, la

automática (la primera).

Ilustración 27. Opción de actualización de Flash Player en Windows XP


3.2.1.2. Desde Windows Vista y 7

El proceso es similar, pero en el «Panel de control» hay que seleccionar la opción

«Seguridad» para acceder al icono de configuración de Flash Player.

Ilustración 28. Acceso a la configuración de Flash Player desde Windows Vista

En caso de que la visualización de nuestro panel de control en Windows Vista esté en modo

«Vista clásica» aparecerá el icono para acceder a la configuración de Flash Player

directamente.

Ilustración 29. Otra forma de acceso a la configuración de Flash desde Vista

Se selecciona la pestaña «Avanzado», si es necesario modificar el proceso de

actualizaciones, solo hay que modificarlo.


Ilustración 30. Configuración de las actualizaciones de Flash Player en Windows Vista

Otra forma, de actualizar la aplicación, es descargarla directamente desde la página Web de

Adobe http://www.adobe.com/es, se selecciona el enlace «Descargas» y a continuación se

selecciona el enlace a «ADOBE FLASH PLAYER»

Ilustración 31. Descarga de Flash Player

Otra forma, de actualizar el programa, es hacerlo de forma manual desde la línea de

comandos. Hay que tener presente las dos versiones del complemento que hay, una para

Internet Explorer (ActiveX) y para el resto de navegadores (plugin), en función de los

navegadores instalados en el sistema habrá que actualizar uno o los dos, para ello, lo

primero que hemos de comprobar que los existen los ficheros que indicamos (los valores

numéricos corresponden a la plataforma: 32 para 32 bits y 64 para 64 bits, y los siguientes a

la versión instalada separada por guión bajo «_»), en caso de estar en otra ruta, habría que

adaptar el comando a nuestro sistema:

C:\Windows \system32\Macromed\Flash\Flashutil32_11_3_300_262_ActiveX.exe

C:\Windows \system32\Macromed\Flash\Flashutil32_11_3_300_262_Plugin.exe



Una vez que estén comprobados estos valores, solo tenemos que saber la plataforma (32 o

64) y la versión (V, valores numéricos separados por «_») que se quiere instalar, para ello

hay que ejecutar los comandos (Windows XP, Vista y 7):

C:\Windows \system32\Macromed\Flash\FlashutilXX_V_ActiveX.exe -update plugin

C:\Windows \system32\Macromed\Flash\FlashutilXX_V_Plugin.exe -update plugin

3.2.2. Versión instalada

Esta comprobación se puede hacer de varias formas, la primera es a través de la página

Web (http://helpx.adobe.com/es/flash-player.html), donde aparecerá un cuadro que muestra

la versión instalada, y nuestro sistema operativo y navegador, y en la parte inferior muestra

una tabla donde aparece la versión última del producto por cada plataforma.

Ilustración 32. Comprobación Web de la versión de Flash Player instalada

Otra forma, es directamente desde la lista de Programas y características, el dato aparece

en la columna «Versión». Para llegar a esta pantalla, Menú principal, Panel de control,

Programas, Programas y características, en vista Detalles, si está configurada para mostrar

la columna versión, aparece directamente.

3.2.2.1. Windows XP

Para comprobar la versión instalada en Windows XP se puede hacer desde Menú Inicio,

Panel de control, y se hace doble clic en el icono de Flash Player.

http://helpx.adobe.com/es/flash-player.html


Ilustración 33. Icono de configuración de Flash Player desde el Panel de control

Se selecciona la pestaña «Avanzado», dentro de la información que muestra está la versión

además de un botón para comprobar que está actualizado.

Ilustración 34. Pestaña «Avanzado» de la configuración de Flash en XP

Otra forma es desde la lista de programas instalados, Menú Inicio, Panel de control, Agregar

o quitar p… y en la lista aparecerá Adobe Flash Player ActiveX (Internet explorer) y/o Adobe

Flash Player Plugin (Mozilla Firefox), si seleccionamos uno de ellos, bajo su nombre aparece

un enlace para obtener más información, dentro de esta información aparece la versión

instalada.


Ilustración 35. Versión Flash instalada desde la lista de programas en XP

Ambas versiones, la del control ActiveX y la del Plugin, no tienen porqué ser iguales.

3.2.2.2. Windows Vista.

Desde Menú principal, Panel de control, se activa la opción «Vista clásica», y aparece el

icono del programa Flash Player, se abre con doble clic.

Ilustración 36. Icono de configuración de Flash Player desde el Panel de control

Aparece la ventana de propiedades de la aplicación, si se selecciona la pestaña

«Avanzado», y muestra las versiones de flash instalado, además de mostrar un botón para

comprobar si está actualizado.


Ilustración 37. Pestaña «Avanzado» de la configuración de Flash en Vista

Otra forma es desde Menú principal, Panel de control, Programas, Programas y

características, y estando en modo vista «Detalles», una de las columnas que se puede

mostrar es versión.

Ilustración 38. Versión Flash instalada desde la lista de programas en Vista

En caso de no estar visible esta columna, se hace clic derecho en la lista de programas,

Ordenar por o agrupar por (es igual) se selecciona la opción «Mas…» y se marca la

columna «Versión»

Ilustración 39. Mostrar la columna versión en la lista de programas en Vista


Ilustración 40. Listado de columnas a visualizar

Ilustración 41. Versiones de Flash en «Programas y características»

Otra forma, es desde Menú de inicio, Panel de control, Seguridad, Flash Player, se

selecciona la pestaña «Avanzado» y muestra las versiones de Flash instalado, así como un

botón para comprobar la versión.

Ilustración 42. Versión de Flash instalada desde la opción seguridad del panel de control

3.2.2.3. Windows 7

Además de hacerlo como en Windows Vista, excepto el modo «Vista clásica» del Panel de

control, que en Windows 7 se ha suprimido, desde la opción de «Programas y

características», en cualquier vista, si seleccionamos una aplicación, en la parte de abajo


aparece la información correspondiente a esa aplicación y, entre esa información, aparece la

versión.

Ilustración 43. Versión de Flash Player instalada desde una vista que no es «Detalles»


3.3. ADOBE SHOCKWAVE.

Ilustración 44. Logotipo de Shockwave player

Este programa realmente es un complemento para navegadores que reproduce ficheros con

formato DCR (multimedia), creados con Adobe Director, con funcionalidades similares a

Flash (de hecho un fichero SWF se puede reproducir en ShockWave, pero un fichero

ShockWave no se puede reproducir en Flash Player). La diferencia entre Shockware y Flash

es la mayor capacidad del primero, en cuanto a procesamiento gráfico, como un motor de

renderizado más rápido, aceleración gráfica por hardware, acceso directo a pixel en

imágenes de mapas de bits, distintos modos de filtrado para composiciones en capa de

gráficos, así como soporte para protocolos de red (por ejemplo IRC).

Aunque en menor medida que los anteriores productos analizados, ShockWave está

instalado en un porcentaje bastante alto de equipos y las posibilidades de que los

ciberdelincuentes, exploten vulnerabilidades del programa, son altas. También hay que

pensar que, al poder reproducir Flash, en algunos casos hay vulnerabilidades de Flash que

podrían afectarle. Por eso, es importante tener en cuenta el actualizar esta herramienta.

3.3.1. Actualización ShockWave

Esta herramienta no tiene actualización automática, por lo que se debe hacer de forma

manual. Además, hay que tener en cuenta que existen dos versiones del producto, una

completa y otra más liviana, y para Windows hay dos posibilidades no excluyentes, una

para Internet Explorer y otra para los demás navegadores. En Mac OS X solo hay versión

para Safari.

Para actualizar Adobe ShockWave, se debe hacer desde la página Web de Adobe

(http://www.adobe.com/es), sección «Descargas» y se selecciona el enlace «Get ADOBE

SHOCKWAVE PLAYER»


Ilustración 45. Descarga de Shockwave Player

En función del sistema operativo con el que visitemos la página, nos ofrecerá una versión u

otra para descargar, pudiendo seleccionar otra distinta.

Ilustración 46. Descargar Shockwave Player para otras plataformas

A veces, se necesita instalar algún complemento de otras empresas y en ese caso

ShockWave muestra una ventana de aviso, en la cual aparece también un certificado del

desarrollador, que se puede verificar para instalarlo o no, la imagen a continuación es de un

complemento (baMoveCursor de Magic Modules Pty Ltd), que en este caso está validado

por Verisign.

Ilustración 47. Petición de instalación de un complemento, firmado digitalmente


3.3.2. Versión instalada.

Se puede comprobar desde la página de test del producto

(http://www.adobe.com/shockwave/welcome/), en la cual se muestra la versión instalada

Ilustración 48. Comprobación Web de la versión instalada

Otra forma de visualizar esta información, es desde Menú Principal, Panel de control,

programas, Programas y características, desde la vista en modo «Detalle» y configurado

para mostrar la columna «Versión»

Ilustración 49. Versión de Shockwave desde «Programas y características»

En otros tipos de vista, al seleccionar la aplicación, en la parte inferior aparece la

información sobre esa aplicación, entre esa información aparece la versión.

Ilustración 50. Versión de Shockwave instalada en Windows 7 y Vista

http://www.adobe.com/shockwave/welcome/


3.4. ADOBE AIR

Ilustración 51. Logotipo de AIR

Es un entorno de ejecución de aplicaciones multiplataforma, para la construcción de

aplicaciones RIA (Rich Internet Applications), en el cual se puede utilizar Adobe Flash,

Action Script, Adobe Flex, HTML y AJAX, de forma que esta aplicación se pueda utilizar

como aplicación de escritorio, y no sea necesario utilizar un navegador para ejecutarlo.

3.4.1. Actualización AIR

Al igual que ShockWave no tiene actualización automática, por lo que hay que descargar la

aplicación e instalarla si se quiere tener actualizada.

Para ello, desde la página Web de Adobe http://www.adobe.com/es en el enlace de

descarga se accede a la página de descarga del programa.

Ilustración 52. Descarga de Adobe AIR

3.4.2. Versión instalada

Para comprobar la versión que está instalada, hay dos posibilidades. Una es ver las

propiedades desde la lista de programas instalados (a través del panel de control) y la otra

es buscar la versión del fichero AIR.dll instalado, en función del sistema operativo.

3.4.2.1. En Windows XP

Menú de Inicio, Panel de Control, Agregar o quitar programas, Adobe AIR (Haga clic para

obtener información de soporte) y aparecerá la ventana «Información de soporte técnico» y

mostrará la versión del producto instalado.



Ilustración 53. Versión instalada de AIR desde «Agregar o quitar p…» en XP

A partir del fichero «Adobe AIR.dll», hay que visualizar la ficha «Versión» de las propiedades

del fichero. El fichero está en la ruta C:\Archivos de programa\Archivos comunes\Adobe

AIR\Versions\1.0

Ilustración 54. Versión de Adobe AIR desde el directorio de instalación en XP

3.4.2.2. En Windows Vista

Al igual que desde Windows XP, se puede mostrar desde la lista de programas instalados.

Para ello, Menú principal, Panel de control, Programas:


Ilustración 55. Accediendo al menú programas en Windows Vista

Se selecciona la opción «Programas y características»

Ilustración 56. Accediendo a programas y características en Windows Vista

En la pantalla que aparece, en la vista «Detalles», está la columna versión.

Ilustración 57. Versión de los programas desde vista «Detalles» en Vista

En caso de no aparecer esta columna, se puede obtener haciendo clic derecho en la lista de

programas, del menú contextual se selecciona la opción «Ordenar por» o «Agrupar por»

(cualquiera de las dos sirve) y del segundo menú se selecciona la opción «Mas..»


Ilustración 58. Configuración de columnas visibles en vista «Detalles» en Vista

Aparece la lista de columnas que se pueden mostrar, al menos se seleccionará «Versión»

Ilustración 59. Selección de columnas visibles para la vista «Detalles»

Otra forma, es abrir la carpeta donde se instaló el programa y ver la ficha «Detalles» del

fichero «Adobe AIR.dll». Para ello, Menú Principal, Equipo, Disco Local (C:), Archivos de

programa, Common Files, Adobe AIR, Versions, 1.0, se hace clic derecho sobre el fichero

«Adobe AIR.dll» y se selecciona la ficha «Detalles», aparecerá la versión instalada.

Ilustración 60. Versión Adobe AIR desde la carpeta de instalación en el disco duro

El cuadro de texto de dirección, normalmente tiene el texto siguiente:


Ilustración 61. Barra de dirección que mostrará la ruta de AIR

Para que aparezca como en la imagen anterior, hay que hacer clic en el cuadro de diálogo.

3.4.2.3. En Windows 7

La primera opción es mediante la lista de programas del panel de control, para ello: Menú

Principal, Panel de control, Programas, Programas y características.

Ilustración 62. Acceso a programas y características en Windows 7

Aparece la lista de programas instalados, si se está en modo de vista «Detalles», una

columna es «Versión» (al igual que en Windows Vista en caso de no aparecer esta columna,

se puede configurar para que la muestre, estando en modo vista «Detalle», se hace clic

derecho sobre la lista de programas y, del menú contextual, se selecciona «Ordenar por» o

«Agrupar por» (una de las dos) y, del segundo menú, se selecciona la opción «Más…»

Ilustración 63. Configuración de las columnas visibles en vista «Detalles» en 7

En otras vistas, si se selecciona un programa, en la parte inferior aparece información sobre

ese programa, entre esa información aparece la versión.


Ilustración 64. Versión de Adobe AIR instalada desde otra vista distinta a «Detalles»

La segunda opción para visualizarlo es mediante las propiedades del fichero. Para ello,

Menú principal, Equipo, Disco local (c:), Archivos de programa, Common Files, Adobe AIR,

Versions, 1.0, clic derecho sobre el fichero «Adobe AIR.dll» y se selecciona la opción

«Propiedades».

Ilustración 65. Propiedades del fichero de instalación de AIR instalada (Windows 7)

Aparece la ventana «Propiedades» del fichero, se selecciona la pestaña «Detalles» y tercer

campo de información que nos muestra es la versión del fichero (es la versión del producto).


Ilustración 66. Versión del fichero de instalación de Adobe AIR

informe de vulnerabilidades - incibe...con este informe, se pretende mostrar un resumen de...

Documents