Si necesita otra razón para no usar más Flash, una nuevo informe de seguridad by Recorded Future puede convencerte de que consideres esto al menos.

La compañía analizó 141 kits de exploits que estuvieron disponibles entre el 16 de noviembre de 2015 y el 15 de noviembre de 2016.

La principal conclusión del estudio de investigación es que las vulnerabilidades de Adobe Flash constituían seis de los diez primeros lugares en los gráficos.

Sin embargo, Flash no fue el único software que explotó los kits en el último año. De hecho, una vulnerabilidad en Microsoft Internet Explorer encabeza la lista, seguida de tres vulnerabilidades de Flash y luego una vulnerabilidad de Microsoft Silverlight.

Una vulnerabilidad de Windows llega a las siete y otra vulnerabilidad de Internet Explorer a las nueve. Los lugares restantes están todos ocupados por vulnerabilidades de Flash

principales vulnerabilidades 2016
a través de https://www.recordedfuture.com/top-vulnerabilities-2016/

Flash lo hizo mejor este año que el año pasado. El año pasado, Flash encabezó los primeros ocho lugares de la lista de las diez principales vulnerabilidades utilizadas por los kits de exploits, con Internet Explorer y Silverlight ocupando los dos últimos lugares.

En lo que respecta a la metodología que utilizó Recorded Future para generar el informe: no realizó ingeniería inversa de los kits de explotación ni utilizó otras formas de análisis directo. En su lugar, utilizó metainformación disponible en Internet para calcular la información.

Recorded Future no realizó ingeniería inversa de ningún malware mencionado en este análisis y, en cambio, realizó un metanálisis de la información disponible en la web. En la actualidad, los EK emplean exploits para docenas de otras vulnerabilidades y la intención de este informe es destacar los principales objetivos de los kits de exploits populares.

Esto significa que las vulnerabilidades no se clasifican necesariamente por gravedad o impacto en los sistemas de los usuarios. En cambio, las vulnerabilidades se clasifican mediante referencias hechas a ellas en sitios de seguridad, foros, etc.

Esto se puede ver fácilmente observando la adopción de vulnerabilidades por el gráfico del kit de explotación que creó la empresa.

principales-vulnerabilidades-2016-2
a través de https://www.recordedfuture.com/top-vulnerabilities-2016/

Si bien las primeras cinco vulnerabilidades enumeradas fueron explotadas por tres o cuatro kits de explotación, fue la vulnerabilidad Flash en el décimo lugar la que más se explotó (siete veces).

El informe termina con recomendaciones. Estos incluyen lo habitual: parchear su sistema y software, eliminar software si no es necesario para los procesos comerciales centrales, habilitar la reproducción con un clic, usar bloqueadores de scripts, crear copias de seguridad frecuentes y usar Chrome si es posible.

Las 10 principales vulnerabilidades

CVE-2016-0189 – Los motores Microsoft JScript 5.8 y VBScript 5.7 y 5.8, como se utilizan en Internet Explorer 9 a 11 y otros productos, permiten a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria) a través de un sitio web diseñado, también conocido como » Vulnerabilidad de corrupción de memoria del motor de secuencias de comandos

CVE-2016-1019 – Adobe Flash Player 21.0.0.197 y versiones anteriores permiten a atacantes remotos provocar una denegación de servicio (bloqueo de la aplicación) o posiblemente ejecutar código arbitrario a través de vectores no especificados, como se explotó en la naturaleza en abril de 2016.

CVE-2016-4117 – Adobe Flash Player 21.0.0.226 y versiones anteriores permiten a atacantes remotos ejecutar código arbitrario a través de vectores no especificados, como se explotó en la naturaleza en mayo de 2016.

CVE-2015-8651 – Desbordamiento de enteros en Adobe Flash Player antes de 18.0.0.324 y 19.xy 20.x antes de 20.0.0.267 en Windows y OS X y antes de 11.2.202.559 en Linux, Adobe AIR antes de 20.0.0.233, Adobe AIR SDK antes de 20.0. 0.233 y Adobe AIR SDK & Compiler antes de 20.0.0.233 permite a los atacantes ejecutar código arbitrario a través de vectores no especificados.

CVE-2016-0034 – Microsoft Silverlight 5 antes de 5.1.41212.0 maneja mal las compensaciones negativas durante la decodificación, lo que permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de encabezado de objeto) a través de un sitio web diseñado.

CVE-2016-1010 – Desbordamiento de enteros en Adobe Flash Player antes de 18.0.0.333 y 19.xa 21.x antes de 21.0.0.182 en Windows y OS X y antes de 11.2.202.577 en Linux, Adobe AIR antes de 21.0.0.176, Adobe AIR SDK antes de 21.0. 0.176, y Adobe AIR SDK & Compiler antes de 21.0.0.176 permite a los atacantes ejecutar código arbitrario a través de vectores no especificados

CVE-2016-4113 – Vulnerabilidad no especificada en Adobe Flash Player 21.0.0.213 y versiones anteriores, como se usa en las bibliotecas de Adobe Flash en Microsoft Internet Explorer 10 y 11 y Microsoft Edge, tiene impactos y vectores de ataque desconocidos

CVE-2015-8446 – Desbordamiento de búfer basado en montón en Adobe Flash Player antes de 18.0.0.268 y 19.xy 20.x antes de 20.0.0.228 en Windows y OS X y antes de 11.2.202.554 en Linux, Adobe AIR antes de 20.0.0.204, Adobe AIR SDK antes del 20.0.0.204 y Adobe AIR SDK & Compiler antes del 20.0.0.204 permite a los atacantes ejecutar código arbitrario a través de un archivo MP3 con etiquetas COMM que se manejan incorrectamente durante la asignación de memoria

CVE-2016-3298 – Microsoft Internet Explorer 9 a 11 y la API de mensajería de Internet en Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1 y Windows 7 SP1 permiten a los atacantes remotos determinar la existencia de archivos arbitrarios a través de un sitio web diseñado.

CVE-2015-7645 – Adobe Flash Player 18.xa 18.0.0.252 y 19.xa 19.0.0.207 en Windows y OS X y 11.xa 11.2.202.535 en Linux permite a atacantes remotos ejecutar código arbitrario a través de un archivo SWF diseñado, como explotado en estado salvaje en octubre de 2015.