Rilasciati update di sicurezza per Adobe Flash Media e Flash Player


Dopo il rilascio delle 13 patch che vanno a risolvere 22 vulnerabilità di Windows, tocca ad Adobe rilasciare gli aggiornamenti di sicurezza per Flash Media Server, Photoshop CS5 e RoboHelp al fine di affrontare vulnerabilità critiche di sicurezza dei prodotti. Il difetto rattoppato in Flash Media Server (FMS) può essere sfruttato da un utente malintenzionato per ottenere una condizione di Denial of service e prevenire che utenti legittimi possano accedere al contenuto.


La vulnerabilità è stata identificata come CVE-2011-2132 nel Common Vulnerabilities and Exposures del database ed è accreditato al Knud Erik Højgaard di nsense. "Adobe consiglia di aggiornare Flash Media Server (FMS) e le versioni di Flash Media Server 4.0.3 o Flash Media Server 3.5.7, rispettivamente", scrive l'azienda. Nel frattempo, una vulnerabilità di corruzione della memoria che può portare all'esecuzione di codice arbitrario è stata affrontata in Adobe Photoshop CS5 e CS5.1. La falla (CVE-2011-2131) è stata segnalata da Francis Provencher dei laboratori di ricerca Protek e può essere sfruttata per ingannare le vittime ad aprire un pericoloso file GIF. 

Infine, una debolezza cross-site scripting (XSS) è stato individuata e patchata su RoboHelp, authoring dello strumento di aiuto di Adobe. La falla (CVE-2011-2133) può essere sfruttata aprendo un URL appositamente predisposto. Le patch sono state rilasciate per RoboHelp 9 (versione 9.0.1.232 e precedenti), RoboHelp 8, RoboHelp Server 9 e RoboHelp Server 8 per Windows. Il download è disponibile all'indirizzo http://www.adobe.com/support/flashmediaserver/downloads_updaters.html. Diversamente dalle vulnerabilità negli altri due prodotti, il tasso di debolezza di questa XSS è importante per Adobe. È stata scoperta e segnalata da Roberto Suggi Liverani di Security-Assessment.com. Adobe ha rilasciato anche aggiornamenti critici di sicurezza per Flash Player e Shockwave Player che consiglia agli utenti di installare il più presto possibile.


La società ha avuto una discussione con un ricercatore di sicurezza il numero effettivo di vulnerabilità corretto nella versione di Flash Player. L'ingegnere di sicurezza di Google Tavis Ormandy sostiene che la nuova versione risolve una serie di 400 vulnerabilità che ha scoperto nel prodotto durante un controllo di sicurezza. Il nuovo rilascio di Adobe Flash Player 10.3.183.5 contiene tredici indirizzi di overflow del buffer, la corruzione della memoria e le vulnerabilità di integer overflow. Tutti possono portare alla completa compromissione del sistema e può essere attaccato da remoto. 

Sono stati rilasciati Aggiornamenti di sicurezza per Adobe AIR, e cioè Adobe AIR 2.7.1 per Windows, Macintosh e 2.7.1.1961 per Android. "Adobe desidera anche ringraziare Tavis Ormandy e il team di Google Chrome per la loro grande opera su diversi miglioramenti di questa versione di Flash Player ", nota l'azienda nella sua consulenza di sicurezza. Oltre a Java di Oracle, Flash Player è uno dei prodotti software più attaccati per il momento, soprattutto da quando le funzionalità della tecnologia Windows sandboxing per Adobe Reader X risulta più difficile sfruttare le vulnerabilità. 

Vale la pena sottolineare, tuttavia, che tutte le vulnerabilità Flash Player si riflettono anche in Adobe Reader a causa del plug-in Flash in bundle authplay.dll  dei componenti nel prodotto. Adobe prevede di sviluppare una tecnolgia sandbox simile per Flash Player, in futuro, ma questo ha appena superato la fase di concetto e ci vorrà più di un anno per attuarla pienamente. "Adobe consiglia agli utenti di Adobe Flash Player 10.3.181.36 e versioni precedenti per Windows, Macintosh, Linux e Solaris l'aggiornamento ad Adobe Flash Player 10.3.183.5. utenti di Adobe Flash Player per Android 10.3.185.25 e precedenti. Le versioni dovrebbero essere aggiornate ad Adobe Flash Player per Android 10.3.186.3", scrive la società. Le ultime versioni di Flash Player possono essere scaricate per i diversi sistemi operativi in uso, collegandosi all'indirizzo http://www.adobe.com/support/flashplayer/downloads.html

Nessun commento:

Posta un commento