QR code per la pagina originale

Adobe aggiorna Flash e risolve 4 vulnerabilità

Patch Tuesday anche per Adobe che rilascia le nuove versioni del plugin Flash Player per Windows, Mac, Linux e Android.

,

Dal mese di novembre 2012, Adobe rilascia le patch mensili per il Flash Player nello stesso giorno di Microsoft. Ieri sera quindi l’azienda californiana ha distribuito nuove versioni del plugin per Windows, Mac, Linux e Android, con le quali vengono risolte quattro vulnerabilità che possono essere sfruttate per eseguire codice arbitrario e consentire ad un attaccante di prendere il controllo del sistema infetto. Attualmente non è stato rilevato nessun exploit in Rete.

In base alle informazioni pubblicate nel bollettino di sicurezza, le versioni aggiornate di Flash risolvono quattro tipi di vulnerabilità: integer overflow, user-after-free, heap buffer overflow e corruzione della memoria. Si tratta di problemi di sicurezza piuttosto gravi che potrebbero comportare il crash del sistema operativo, se l’utente visita una pagina con contenuti Flash infetti.

Adobe consiglia di installare al più presto le seguenti versioni del plugin: Flash Player 11.6.602.180 per Windows e Mac, Flash Player 11.2.202.275 per Linux, Flash Player 11.1.115.48 per Android 4.x, Flash Player 11.1.111.44 per Android 2.x/3.x.

Le nuove release di Flash per Chrome e Internet Explorer 10 su Windows 8 vengono installate automaticamente insieme agli aggiornamenti per i due browser. A proposito di IE10, Microsoft ha pubblicato un bollettino di sicurezza in cui sono indicati alcuni “fattori attenuanti” che potrebbero ridurre il rischio di un attacco. Uno dei fattori è il seguente:

Internet Explorer 10, nell’interfaccia utente in stile Windows 8, sarà in grado di riprodurre solo i contenuti Flash dai siti presenti nell’elenco Visualizzazione Compatibilità (CV). Questa restrizione obbliga un utente malintenzionato a manomettere prima un sito Web già presente nell’elenco CV.

La stessa Microsoft ha comunicato ieri che IE10 su Windows 8 eseguirà tutti i contenuti Flash per default. Quindi il fattore attenuante non è più valido, dato che l’elenco CV è diventato una blacklist. Per sfruttare la vulnerabilità del plugin è sufficiente creare un sito ad hoc e convincere l’utente a visitarlo, ad esempio tramite un link inserito in un messaggio di posta elettronica.

Come previsto, Adobe non ha risolto la vulnerabilità zero-day sfruttata da VUPEN per realizzare l’exploit che ha permesso all’azienda francese di incassare il premio da 70.000 dollari messo in palio al Pwn2Own 2013.

Fonte: Adobe • Notizie su: