Allarme Adobe: falla zero-day in Flash

Adobe ha pubblicato un urgente bollettino di sicurezza nel quale si lancia l'allarme circa una nuova vulnerabilità emersa in Adobe Flash e potenzialmente attaccabile da un exploit già pubblicato in rete. Flash 10.1 Release Candidate è però immune

Adobe ha pubblicato un nuovo bollettino di sicurezza con cui si alza l’allarme attorno a Flash Player per la scoperta di un bug di grave entità e, soprattutto, già preso di mira da un exploit pubblico. Al momento non esiste soluzione al problema, ma Adobe promette immediato impegno per risolvere il tutto con una patch.

Pochi i dettagli diramati, ma quanto basta per capire che il pericolo è consistente ed immediato. Adobe definisce «critica» la vulnerabilità e spiega che l’exploit è in grado di causare un crash e di prendere potenzialmente il controllo del sistema attaccato. Il bug è stato identificato nella versione 10.0.45.2 (e precedenti) di Adobe Flash Player per Windows, Macintosh, Linux e Solaris. Sono potenzialmente attaccabili, quindi, tutti gli utenti che utilizzano tecnologia Flash in tutto il mondo, cioè pressoché la totalità degli utenti connessi alla rete.

C’è, però, una possibile immediata via di fuga: Flash Player 10.1, disponibile in Release Candidate, non sarebbe soggetto al problema. In una sorta di piccolo paradosso, quindi, può essere consigliabile il passaggio immediato alla prossima versione, non ufficiale, di Flash pur di mettere al riparo il sistema dal pericolo.

Adobe conferma come Adobe Reader e Adobe Acrobat 8.x sono immuni al problema, mentre risultano compromessi Adobe Reader ed Acrobat 9.x per Windows, Macintosh e Unix. A tal proposito è possibile intervenire manualmente sulla componente authplay.dll con un workaround provvisorio, ma trattasi di una operazione difficilmente riproducibile dall’utenza di massa ed in ogni caso non risolutiva.

Gli attacchi perpetrati tramite l’exploit segnalato sarebbero al momento pochi, ma il rischio di un’impennata repentina è forte: Adobe dovrà intervenire con estrema rapidità sul problema (nessuna scadenza è stata però ufficializzata), dopo di che toccherà agli utenti acconsentire con massima solerzia all’aggiornamento proposto.

Paguro

A mio avviso c’è un grosso errore nell’articolo, quando si parla di attacchi che sfruttano le .dll, l’unico sistema ad essere soggetto è Windows, cosa centrano gli altri sistemi?
http://www.webnews.it Giacomo Dotta

Giusta osservazione, formulazione non esatta.
Corretto.
Paguro

Egregio Sig. Dotta, l’articolo andrebbe ulteriormente corretto, è spiego anche il perchè.

Reader/Acrobat e Flash sono vulnerabili ad una pericolosa debolezza sfruttabile via file PDF, che fa leva componente authplay.dll, le .dll sono librerie di Windows che girano solo su Windows, di quel componente su Linux o Mac anche si usa Adobe Reader non vi è traccia, quindi il problema è circoscritto alla solo piattaforma Windows, ed è bene tenere presente che Windows è l’unico sistema operativo al mondo che per leggere un pdf ha bisogno di un software esterno, come Adobe Reader o altri, mentre su Ubuntu e Os X per leggere un pdf non devi installare nulla.
http://www.webnews.it Giacomo Dotta

Grazie per le indicazioni, ma in questo caso occorre attenersi alle indicazioni Adobe: “Affected software: Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions for Windows, Macintosh, Linux and Solaris
Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX”
Paguro

La dicitura dei sistemi è normale visto che sono prodotti multi-piattaforma, ma essere multi-piattaforma non significa che un bug anche se presente sia sfruttabile su tutte le piattaforme, sopratutto quando il veicolo dell’exploit è una libreria di un suddetto sistema, si possono fare tanti esempi di tanti altri software multi-piattaforma, come i vari browser, Firefox,Chrome, Opera.

In tal caso l’errore è commesso dalla generalizzazione fatta da Abobe.
hexaae

Facciamo chiarezza: il bug è presente anche nelle versioni Linux, e MacOS e può causare crash del plugin con conseguenti exploit se ben sfruttata.
Quello che dice Adobe è corretto e i sistemi non Windows non è che non siano immuni. Eliminare la authplay.dll (quindi parliamo di Win) serve a non poter sfruttare l’exploit pubblicato già in rete usando Adobe e Reader 9.x, ma ciò non significa che su gli altri OS non ci siano problemi…
Gnulinux86

Tralasciando Photoshop e derivati, Adobe scrive software con i piedi in egual misura senza differenze per Windows,Os X e Linux.

Come recita Secunia: < < The vulnerability is caused due to a vulnerable bundled version of Flash Player (authplay.dll). >>

La vulnerabilità su Adobe Reader che fa leva su una determinato componente < < authplay >> è presente su tutte e tre le maggiori piattaforme, ovviamente con una dicitura di libreria diversa che varia tra sistema e sistema:

Windows= authplay.dll

Os X= AuthPlayLib.bundle

Distro Linux= libauthplay.so

Allo stato attuale si registrano attacchi solo su Windows, ma non c’è da stupirsi, visto che tale sistema viene fornito sprovvisto di un visualizzatore PDF e nel 99% dei casi l’utenza si affida a Adobe Reader, mentre OS X e le distro Linux, vengono fornite di default con un visualizzatore di documenti che legge tranquillamente i PDF.

In attesa di una patch risolutiva, è buona regola seguire il workaround consigliato da Adobe:

Windows= Delete, rename, or remove access to authplay.dll to prevent running SWF content in PDF files.

Os X= Delete, rename, or remove access to AuthPlayLib.bundle to prevent running SWF content in PDF files.

Distro Linux= Delete, rename, or remove access to libauthplay.so o prevent running SWF content in PDF files.

Io aggiungere il consiglio di Firefox il plugin Flashblock.

Sono dell’opinione che bisogna essere masochisti per utilizzare AdobeReader su Mac e Linux, visto che non serve, per l’utenza Windows consiglio di utilizzare ” Sumatra PDF “, personalmente mi son liberato anche di Flashplayer, su Ubuntu per guadare i video di Youtube utilizzo Minitube, software scritto dal nostro ” Flavio Tordini”, in alternativa c’è VLC, per i film su Megavideo consiglio l’accoppiata Firefox il plugin DownloadHelper, il tutto in attesa di HTML5 con WebM.