Flash Player 10: corretta falla clickjacking

Adobe Systems ha corretto, con il rilascio del Flash Player 10, cinque vulnerabilità che affliggevano la versione precedente del lettore, inclusa la possibilità di utilizzare la tecnica del clickjacking allo scopo di abilitare microfono e webcam dei Pc.

La tecnica del clickjacking, in grado di permettere ad un utente malintenzionato di prendere il controllo dei link presenti all’interno di una pagina Web e di reindirizzare i ‘click’ effettuati in essa verso contenuti arbitrari, non è stata inizialmente discussa in profondità dai suoi scopritori proprio in attesa che Adobe rilasciasse una patch indirizzata ad un allora ancora sconosciuto prodotto realizzato dalla società di San Josè, e coinvolto nell’inquietante scoperta. Il mistero è stato presto svelato: si trattava del Flash Player, facilmente sfruttabile per abilitare microfono e occhio elettronico della webcam eventualmente collegata ai Pc presi di mira dall’attacco.

Come scrive Adobe all’interno del suo blog dedicato alla sicurezza, «Flash Player 10 corregge gli aspetti specifici del Flash Player coinvolti nel problema clickjacking di recente scoperta e include inoltre una riduzione dei recenti attacchi alla clipboard, nonché altri passi avanti sotto il profilo della sicurezza». Più nei dettagli, il bollettino di sicurezza Adobe recita: «questo aggiornamento corregge un potenziale ‘problema di clickjacking’ nel Flash Player. Il clickjacking è un problema che coinvolge molti Web browser e che può portare un aggressore a far cliccare con l’inganno un link. Questo aggiornamento aiuta a prevenire gli attacchi di tipo clickjacking verso la camera e il microfono degli utenti del Flash Player».

Per chi fosse impossibilitato a passare alla nuova versione del Flash Player, Adobe rilascerà a novembre un aggiornamento dedicato espressamente alla versione 9. Al momento, Flash Player 10 è disponibile per Windows, Mac OS X, Linux e Solaris.