Tres 0-day de Adobe Flash Player en menos de un mes

[frhfpwimb]

Adobe ha publicado una nueva versión de Flash para corregir un 0-day, pero no sería una noticia tan llamativa si no fuera que hace menos de una semana le sucedió los mismo, y una semana atrás otra vez lo mismo.

El Flash Player se ve envuelto en una serie de inconvenientes al surgir distintos 0-days que son explotados por la web, y muchos ya empiezan a hablar el fin de los complementos nativos.

La última vulnerabilidad descubierta era explotada entre otros por el dominio dailymotion.com que redirigía a un exploit en otro servidor.

Muchos ya hablan de migrar a HTML5 como lo han hecho varias aplicaciones incluida YouTube, y de paso ser más compatible con dispositivos móviles.

[the98]

En Linux hace rato que no hay soporte. Muerte a Flash

[ThecaTTony]

En Linux hace rato que no hay soporte. Muerte a Flash

Si hay soporte, tanto para la versión NPAPI (11.2.202.442) o para el nuevo plugin PPAPI (16.0.0.442).

Lo que no hay son nuevas versiones (12/13/14/15/16) del plugin basado en NPAPI, pero si se lanzan actualizaciones de seguridad.

Por otro lado, yo estoy utilizando un plugin en Firefox llamado freshplayerplugin (https://github.com/i-rinat/freshplayerplugin) que hace de wrapper entre los navegadores que soportan NPAPI y la versión de flash PPAPI actual (16.0.0.442). Al momento de escribir esto aún no he tenido errores.

[the98]

Oficialmente no hay más soporte, si no me equivoco.

[ThecaTTony]

Código [Seleccionar] Expandir

http://www.adobe.com/devnet/flashplatform/whitepapers/roadmap.html
https://helpx.adobe.com/flash-player/release-note/release-notes-flash-player-11_20120305.html

Linux
Adobe has been working closely with Google to develop a single, modern API for hosting plug-ins within the browser. The PPAPI, code-named "Pepper", aims to provide a layer between the plug-in and browser that abstracts away differences between browser and operating system implementations. You can find more information on the Pepper API at http://code.google.com/p/ppapi/.
Because of this work, Adobe has been able to partner with Google in providing a "Pepper" implementation of Flash Player for all x86/64 platforms supported by the Google Chrome browser. Google now distributes this new Pepper-based Flash Player as part of Chrome on all platforms, including Linux.

For Flash Player releases after 11.2, the Flash Player browser plug-in for Linux will only be available via the "Pepper" API as part of the Google Chrome browser distribution and will no longer be available as a direct download from Adobe. Adobe will continue to provide security updates to non-Pepper distributions of Flash Player 11.2 on Linux for five years from its release.

Flash Player will continue to support browsers using non-"Pepper" plug-in APIs on platforms other than Linux.

Adobe will not be providing a Pepper-based debug player implementation of the Flash Player browser plug-in on Linux.

As of Adobe AIR 3, Adobe has discontinued support for Adobe AIR for Linux operating systems.

Dieron 5 años de actualizaciones de seguridad sobre la versión NPAPI que según las fechas de release (4/5/2012) deberían terminar el 4/5/2017. La otra versión, la basada en PPAPI (Pepper) seguirá actualizándose como siempre al ritmo de las demás plataformas.

[the98]

Ok, gracias por clarificar :D

[judoka]

El pepper es sólo para chrome y opera, se puede instalar en firefox (o al menos iceweasel) tengo entendido.
De todas maneras me había cansado de lidiar con todo eso (además de las CRÍTICAS vulnerabilidades) y sólo veo videos por HTML5. Lo que no me soporta al menos en este foro es el contenido de youtube embebido. En otras páginas sí me ha funcionado.