Vulnerabilità Flash Player, Firefox sotto attacco

Ieri sera Adobe ha rilasciato un’ennesima patch di emergenza per risolvere tre gravi vulnerabilità scoperte nel suo Flash Player, due delle quali sono state sfruttate dagli hacker per colpire il browser Firefox. Si tratta del terzo bollettino di sicurezza pubblicato nel mese di febbraio e il quarto dall’inizio del 2013. Nonostante il plugin sia utilizzato da tutti i browser più diffusi, non è chiaro il motivo per cui l’unico software in pericolo sia quello sviluppato da Mozilla.

Come per le precedenti vulnerabilità zero-day, anche in questo caso gli exploit circolanti in Rete consentono ai malintenzionati di prendere il controllo del sistema. L’attacco viene messo a segno quando l’utente clicca su un link che porta ad un sito con contenuto Flash (SWF) infetto. Le nuove versioni del Flash Player per Windows, Linux e Mac risolvono un problema individuato nei permessi della sandbox, una vulnerabilità nelle feature External Interface ActionScript e una vulnerabilità buffer overflow nel broker service di Flash Player.

Mozilla ha implementato la funzionalità click-to-play per bloccare automaticamente tutti i plugin considerati pericolosi per la sicurezza. Purtroppo, questa modalità non è attivata per Flash Player, quindi l’utente rischia l’infezione se non installa la versione più recente del plugin Adobe.

Flash Player 11.6.602.171 per Windows e Mac, e Flash Player 11.2.202.273 per Linux possono essere scaricati dal sito dell’azienda oppure attraverso il sistema di update automatico integrato nel software. Flash Player 11.6.602.171 per Chrome e Internet Explorer 10 (Windows 8) vengono invece aggiornati insieme ai due browser.