QR code per la pagina originale

Vulnerabilità zero-day in Adobe Flash Player

Adobe mette in guardia sui rischi legati a una falla riscontrata in Flash Player, Reader e Acrobat promettendo una patch

,

Per mezzo di un bollettino ufficiale, Adobe ha reso nota una vulnerabilità zero-day riscontrata nelle versioni 10.1.82.76 e precedenti del Flash Player rilasciate per piattaforme Windows, Mac, Linux, Solaris e persino Android. Anche gli smartphone, dunque, potrebbero essere obiettivo di attacchi da parte di malintenzionati che, sfruttando la falla in questione, sarebbero in grado di assumere il controllo del sistema.

Coinvolti anche i software Reader 9.3.4 e precedenti per Windows, Mac e Unix, oltre a Acrobat 9.3.4 e precedenti per Windows e Mac. In questi casi non sono però stati registrati tentativi di sfruttare l’expolit, ma per ovvie ragioni di sicurezza la società di San Jose ha fatto sapere di essere già al lavoro per risolvere la situazione. Gli aggiornamenti a Flash Player sono attesi durante la settimana del 27 settembre, mentre a partire dal 4 ottobre dovrebbe essere rilasciato l’update anche per Reader.

Nell’attesa, il consiglio di Adobe è semplice: prestare attenzione alle operazioni eseguite online e mantenere i software di protezione costantemente attivi. Accorgimenti di certo validi per computer desktop e portatili, ma poco efficaci in ambito smartphone, considerando la quasi totale assenza di applicazioni dedicate alla sicurezza tra le pagine dell’Android Market.

Stabilire chi siano i responsabili degli attacchi finora portati a termine per mezzo di queste vulnerabilità è impresa piuttosto ardua, ma alcuni esperti ipotizzano un ritorno sulla scena dello stesso gruppo che poco meno di un anno fa mise in ginocchio le difese di Google. In particolare, secondo gli analisti al servizio di Symantec, la metodologia adottata per sfruttare la nuova falla di Adobe Reader avrebbe qualche connotato in comune con l’offensiva del dicembre 2009. Sarebbero alcune email circolate nelle ultime settimane (per la precisione a partire da giovedì 1 settembre) a farlo pensare a causa di una terminologia ritenuta simile a quella utilizzata per l’attacco nei confronti di bigG.

Notizie su: