Adobe aggiorna Flash e risolve 4 vulnerabilità

Patch Tuesday anche per Adobe che rilascia le nuove versioni del plugin Flash Player per Windows, Mac, Linux e Android.
Patch Tuesday anche per Adobe che rilascia le nuove versioni del plugin Flash Player per Windows, Mac, Linux e Android.
Luca Colantuoni
Pubblicato il 13 mar 2013

Dal mese di novembre 2012, Adobe rilascia le patch mensili per il Flash Player nello stesso giorno di Microsoft. Ieri sera quindi l’azienda californiana ha distribuito nuove versioni del plugin per Windows, Mac, Linux e Android, con le quali vengono risolte quattro vulnerabilità che possono essere sfruttate per eseguire codice arbitrario e consentire ad un attaccante di prendere il controllo del sistema infetto. Attualmente non è stato rilevato nessun exploit in Rete.

In base alle informazioni pubblicate nel bollettino di sicurezza, le versioni aggiornate di Flash risolvono quattro tipi di vulnerabilità: integer overflow, user-after-free, heap buffer overflow e corruzione della memoria. Si tratta di problemi di sicurezza piuttosto gravi che potrebbero comportare il crash del sistema operativo, se l’utente visita una pagina con contenuti Flash infetti.

Adobe consiglia di installare al più presto le seguenti versioni del plugin: Flash Player 11.6.602.180 per Windows e Mac, Flash Player 11.2.202.275 per Linux, Flash Player 11.1.115.48 per Android 4.x, Flash Player 11.1.111.44 per Android 2.x/3.x.

Le nuove release di Flash per Chrome e Internet Explorer 10 su Windows 8 vengono installate automaticamente insieme agli aggiornamenti per i due browser. A proposito di IE10, Microsoft ha pubblicato un bollettino di sicurezza in cui sono indicati alcuni “fattori attenuanti” che potrebbero ridurre il rischio di un attacco. Uno dei fattori è il seguente:

Internet Explorer 10, nell’interfaccia utente in stile Windows 8, sarà in grado di riprodurre solo i contenuti Flash dai siti presenti nell’elenco Visualizzazione Compatibilità (CV). Questa restrizione obbliga un utente malintenzionato a manomettere prima un sito Web già presente nell’elenco CV.

La stessa Microsoft ha comunicato ieri che IE10 su Windows 8 eseguirà tutti i contenuti Flash per default. Quindi il fattore attenuante non è più valido, dato che l’elenco CV è diventato una blacklist. Per sfruttare la vulnerabilità del plugin è sufficiente creare un sito ad hoc e convincere l’utente a visitarlo, ad esempio tramite un link inserito in un messaggio di posta elettronica.

Come previsto, Adobe non ha risolto la vulnerabilità zero-day sfruttata da VUPEN per realizzare l’exploit che ha permesso all’azienda francese di incassare il premio da 70.000 dollari messo in palio al Pwn2Own 2013.

Ti consigliamo anche

TECH PREMIUM: SCONTI AMAZON INCREDIBILI! Risparmio garantito!
Web e Social

TECH PREMIUM: SCONTI AMAZON INCREDIBILI! Risparmio garantito!
Ideale per i gamer: VPN disponibile a soli 2,08 euro al mese
VPN

Ideale per i gamer: VPN disponibile a soli 2,08 euro al mese
Bombe tech di fine giornata: cuffie, fotocamere, droni, TV e laptop a prezzi PAZZI su Amazon
Web e Social

Bombe tech di fine giornata: cuffie, fotocamere, droni, TV e laptop a prezzi PAZZI su Amazon
Attiva il nuovo assistente Meta AI anche in Italia con una VPN
VPN

Attiva il nuovo assistente Meta AI anche in Italia con una VPN
Link copiato negli appunti