Se ha anunciado la existencia de una vulnerabilidad en el reproductor Shockwave de Macromedia (Adobe), que podría ser empleada por atacantes remotos para provocar la ejecución de código arbitrario en los sistemas afectados.

El problema reside en el proceso de instalación del reproductor, concretamente en el control ActiveX con CLSID 166B1BCA-3F9C-11CF-8075-444553540000. Este control contiene una vulnerabilidad producida por un desbordamiento de bufer. Un atacante remoto podrá crear una página web, con contenido Shockwave, de forma que cuando sea cargada por el usuario, preguntará al usuario para instalar el reproductor y ejecutará el código malicioso.

Se ha confirmado que pueden emplearse dos parámetros no detallados para explotar el desbordamiento. La propia compañía ha calificado el problema como crítico, y ha publicado la adecuada actualización. Como solo se ve afectado el instalador, los usuarios actuales del reproductor Macromedia Shockwave Player no se ven afectados. Los usuarios que descarguen e instalen el último Shockwave Player no serán ya vulnerables.

Adobe informa del fallo y proporciona soluciones en la página [url]http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html[/url]