Allarme Adobe: falla zero-day in Flash

Adobe ha pubblicato un nuovo bollettino di sicurezza con cui si alza l’allarme attorno a Flash Player per la scoperta di un bug di grave entità e, soprattutto, già preso di mira da un exploit pubblico. Al momento non esiste soluzione al problema, ma Adobe promette immediato impegno per risolvere il tutto con una patch.

Pochi i dettagli diramati, ma quanto basta per capire che il pericolo è consistente ed immediato. Adobe definisce «critica» la vulnerabilità e spiega che l’exploit è in grado di causare un crash e di prendere potenzialmente il controllo del sistema attaccato. Il bug è stato identificato nella versione 10.0.45.2 (e precedenti) di Adobe Flash Player per Windows, Macintosh, Linux e Solaris. Sono potenzialmente attaccabili, quindi, tutti gli utenti che utilizzano tecnologia Flash in tutto il mondo, cioè pressoché la totalità degli utenti connessi alla rete.

C’è, però, una possibile immediata via di fuga: Flash Player 10.1, disponibile in Release Candidate, non sarebbe soggetto al problema. In una sorta di piccolo paradosso, quindi, può essere consigliabile il passaggio immediato alla prossima versione, non ufficiale, di Flash pur di mettere al riparo il sistema dal pericolo.

Adobe conferma come Adobe Reader e Adobe Acrobat 8.x sono immuni al problema, mentre risultano compromessi Adobe Reader ed Acrobat 9.x per Windows, Macintosh e Unix. A tal proposito è possibile intervenire manualmente sulla componente authplay.dll con un workaround provvisorio, ma trattasi di una operazione difficilmente riproducibile dall’utenza di massa ed in ogni caso non risolutiva.

Gli attacchi perpetrati tramite l’exploit segnalato sarebbero al momento pochi, ma il rischio di un’impennata repentina è forte: Adobe dovrà intervenire con estrema rapidità sul problema (nessuna scadenza è stata però ufficializzata), dopo di che toccherà agli utenti acconsentire con massima solerzia all’aggiornamento proposto.