(Por El Microsaurio) Desde el jueves los mensajes posteados en el blog del Adobe Product Security Incident Response Team (PSIRT) no dejaban dudas: las papas quemaban, y había que sacarlas del fuego. El terremoto pasó, pero siguen los sacudones.
A fines de diciembre del 2008 algunos miembros de la comunidad informática, de este lado o del otro de la verja, habían avisado que había fallas de seguridad en Flash. Según comenta Peleus Uhley, miembro del Adobe Secure Software Engineering Team (ASSET), por esas fechas el tema fue calificado como un bug, un error de programación, que no correspondía a Seguridad, por lo cual nadie les avisó (internamente) hasta el 16 de julio de este año.
(¿Habrá sido por el champán navideño?)
A eso se agregó, también en julio, un aviso desde Microsoft: “…varios productos de Adobe podrían ser afectados por el problema de ATL…”.
Recordá, es el asunto del cual se habló toda la semana pasada, que dio origen a los dos parches fuera de fecha del martes pasado, y que podrás encontrar resumido aquí.
También te contamos que los muchachos de Adobe prometieron emparchar todo para fin de mes. Cumplieron, y ahí va un resumen:
- Actualizaciones para Flash, Acrobat y Reader y AIR. Es el Boletín APSB09-10 y en esa página de Adobe están los links a las actualizaciones para cada producto. Ha sido emparchada la falla de “authplay.dll” y otras menos famosas pero igualmente dañinas, además de la ya mencionada de Microsoft Active Template Library (ATL). Se solucionaron las fallas encontradas en las versiones para Windows, Mac y Unix. Falta el parche para Solaris. Una vez actualizado tu sistema, tendrías que tener productos con estos códigos de versión: Adobe Flash Player 9.0.246.0, Flash Player 10.0.32.18, Adobe Reader 9.1.3 y Acrobat 9.1.3, Adobe AIR 1.5.2.
- Actualizaciones para Shockwave. Están en el ***Boletín APSB09-11*** y, más o menos como en el caso anterior, entrás y buscás el link a la descarga, que en este caso es solamente para Windows, ya que lo único que soluciona es el tema de las ATL. La versión actualizada es Adobe Shockwave Player 11.5.1.601
Comentario final: en un arranque de optimismo, los muchachos del Adobe PSIRT postearon el viernes a la noche: “…como resultado de esta actualización fuera de fecha de Adobe Reader y Acrobat, la empresa planea publicar su próxima actualización trimestral de Adobe Reader y Acrobat para el martes 13 de octubre…” ¿Cómo pueden estar tan seguros de que no será necesario publicar nada “fuera de programa” antes? ¿No saben que a Seguro se lo llevaron preso?