Vulnerabilidad en Adobe Flash Player, Adobe AIR, Adobe AIR SDK y Adobe AIR SDK & Compiler (CVE-2014-5333)

Adobe Flash Player en versiones anteriores a 13.0.0.241 y 14.x en versiones anteriores a 14.0.0.176 en Windows y OS X y en versiones anteriores a 11.2.202.400 en Linux, Adobe AIR en versiones anteriores a 14.0.0.178 en Windows y OS X y en versiones anteriores a 14.0.0.179 en Android, Adobe AIR SDK en versiones anteriores a 14.0.0.178 y Adobe AIR SDK & Compiler en versiones anteriores a 14.0.0.178 no restringe adecuadamente el formato de archivo SWF, lo que permite a atacantes remotos llevar a cabo ataques de CSRF contra puntos finales JSONP y obtener información sensible, a través de un elemento OBJECT manipulado con contenido SWF que satisface los requerimientos de set de caractéres de una llamada de retorno API, en conjunto con una manipulación que involucra un caracter '$' (signo de dolar) o '(' (paréntesis abierto). NOTA: este problema existe por un arreglo incompleto para CVE-2014-4671.