Adobe rilascia patch per chiudere vulnerabilità critiche in Flash Player

Adobe ha appena rilasciato due aggiornamenti prioritari per versioni di Flash Player 11.1.102.62 e versioni precedenti per Windows, Macintosh, Linux e Solaris, Adobe Flash Player 11.1.115.6 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.6 e versioni precedenti versioni per Android 3.xe 2.x. Le patch affrontano due vulnerabilità critiche che possono causare un crash e consentire potenzialmente a un utente malintenzionato di assumere il controllo del sistema interessato.

Adobe consiglia agli utenti di Adobe Flash Player 11.1.102.62 e versioni precedenti per Windows, Macintosh, Linux e Solaris l'aggiornamento ad Adobe Flash Player 11.1.102.63. Gli utenti di Adobe Flash Player 11.1.115.6 e precedenti versioni su dispositivi Android 4.x dovrebbero aggiornare ad Adobe Flash Player 11.1.115.7. Gli utenti di Adobe Flash Player 11.1.111.6 e versioni precedenti per Android 3.xe versioni precedenti dovrebbero aggiornare Flash Player alla versione 11.1.111.7. Le due vulnerabilità interressate sono:

1. CVE-2012-0768 - una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice in modalità remota sfruttando una falla nel componente Matrix3D in Adobe Flash Player o causare un denial of service (corruzione della memoria) attraverso vettori non specificati.
2. CVE-2012-0769 - una vulnerabilità legata all'intercettazione di informazioni a causa di errori di numeri interi in Adobe Flash Player, che consente agli aggressori di ottenere informazioni riservate attraverso vettori non specificati.

Versioni del software interessate

• Adobe Flash Player 11.1.102.62 e versioni precedenti per Windows, Macintosh, Linux e sistemi operativi Solaris
• Adobe Flash Player 11.1.115.6 e precedenti versioni per Android 4.x
• Adobe Flash Player 11.1.111.6 e versioni precedenti per Android 3.x e 2.x

Per verificare la versione di Adobe Flash Player installato sul vostro sistema, accedete alla pagina Informazioni su Flash Player , oppure fate clic col pulsante destro del mouse  sul contenuto eseguito in Flash Player e selezionate "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguite la verifica per ciascun browser che avete installato sul vostro sistema. Per verificare la versione di Adobe Flash Player per Android, andate su Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx

Soluzione

Adobe consiglia agli utenti di Adobe Flash Player 11.1.102.62 e versioni precedenti per Windows, Macintosh, Linux e Solaris l'aggiornamento alla versione più recente 11.1.102.63 scaricandolo dall'Adobe Flash Player Download Center. Per gli utenti che non possono effettuare l'aggiornamento a Flash Player 11.1.102.63, Adobe ha sviluppato una versione corretta di Flash Player 10.x, Flash Player 10.3.183.16, che può essere scaricata qui.

Gli utenti di Adobe Flash Player 11.1.115.6 e precedenti versioni su dispositivi Android 4.x dovrebbero aggiornare ad Adobe Flash Player 11.1.115.7 navigando al Marketplace Android su un dispositivo Android. Gli utenti di Adobe Flash Player 11.1.111.6 e versioni precedenti per Android 3.xe versioni precedenti dovrebbero aggiornare Flash Player alla versione 11.1.111.7 navigando al Marketplace Android su un dispositivo Android.

Priorità e rating gravità

Adobe classifica questi aggiornamenti con il seguente ordine di priorità e livelli di gravità, e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti: priorità: 2; gravità: critico. Priorità 2: questo aggiornamento risolve vulnerabilità in un prodotto che è stata storicamente a rischio elevato. Attualmente non vi sono exploit noti. Sulla base delle precedenti esperienze, Adobe non prevede exploit imminenti. In qualità di best practice, Adobe consiglia agli amministratori di installare l'aggiornamento al più presto (ad esempio, entro 30 giorni). Critico: Una vulnerabilità che, se sfruttata consentirebbe l'esecuzione di codice dannoso nativo, potenzialmente senza che un utente se ne accorga.

Per gli utenti che hanno aggiornato Google Chrome all'ultima versione è necessario riavviare il proprio browser il più presto possibile in quanto Google ha fornito automaticamente la correzione nell'ultimo aggiornamento Chrome 17.0.963.65. I non utenti del browser Chrome possono scaricare l'ultima versione (11.1.102.63) andando a http://get.adobe.com/it/flashplayer/ ed eseguendo il programma di installazione per la propria piattaforma. Come sempre si raccomanda l'implementazione di questi aggiornamenti non appena possibile. Anche se non abbiamo alcuna prova che questi difetti possano essere sfruttati in modo incontrollato, i modelli del passato indicano che non tarderanno ad arrivare.

Aggiornamento urgente per Flash Player corregge vulnerabilità critica

Adobe ha reso disponibile un nuovo aggiornamento di sicurezza per Flash Player, identificato dal numero di versione 11.1.102.62. Si tratta di un update critico assolutamente raccomandato dalla stessa società. Questo aggiornamento risolve vulnerabilità critiche in Adobe Flash Player 11.1.102.55 e versioni precedenti per Windows, Macintosh, Linux e Solaris, Adobe Flash Player 11.1.112.61 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.5 e versioni precedenti per Android 3.xe 2.x.

Queste vulnerabilità possono causare un crash e consentire potenzialmente a un utente malintenzionato di assumere il controllo del sistema interessato. Questo aggiornamento risolve anche una vulnerabilità universale di tipo cross-site scripting (XSS) che potrebbe essere utilizzata per intraprendere azioni per conto di un utente su qualsiasi sito Web o al fornitore di Webmail, se l'utente visita un sito Web malevolo.

Ci sono rapporti che questa vulnerabilità (CVE-2012-0767) venga sfruttata in modo incontrollato in attivi attacchi mirati progettati per ingannare l'utente a cliccare su un link maligno consegnato in un messaggio di posta elettronica (Internet Explorer solo su Windows). Adobe consiglia agli utenti di Adobe Flash Player 11.1.102.55 e versioni precedenti per Windows, Macintosh, Linux e Solaris l'aggiornamento ad Adobe Flash Player 11.1.102.62.

Gli utenti di Adobe Flash Player 11.1.112.61 e precedenti versioni su dispositivi Android 4.x dovrebbero aggiornare ad Adobe Flash Player 11.1.115.6. Gli utenti di Adobe Flash Player 11.1.111.5 e versioni precedenti per Android 3.xe versioni precedenti dovrebbero aggiornare Flash Player alla versione 11.1.111.6.

VERSIONI DEL SOFTWARE INTERESSATE

• Adobe Flash Player 11.1.102.55 e versioni precedenti per Windows, Macintosh, Linux e sistemi operativi Solaris
• Adobe Flash Player 11.1.112.61 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.5 e versioni precedenti per Android 3.x e 2.x

Per verificare la versione di Adobe Flash Player installata sul vostro sistema, accedere alla pagina Informazioni su Flash Player , oppure fare clic destro sul contenuto eseguito in Flash Player e selezionare dal menu "Informazioni su Adobe (o Macromedia) Flash Player".

Se si utilizzano più browser, eseguire la verifica per ogni browser che avete installato sul vostro sistema. Per verificare la versione di Adobe Flash Player per Android, andare su Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx. Adobe classifica questi aggiornamenti come critici e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti.

DETTAGLI

• Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe portare all'esecuzione di codice (solo controllo Windows ActiveX) (CVE-2012-0751). 
• Questo aggiornamento risolve una vulnerabilità di tipo confusion memory corruption che potrebbe portare all'esecuzione di codice (CVE-2012-0752). 
• Questo aggiornamento risolve una vulnerabilità legata alla corruzione della memoria MP4 parsing che potrebbe portare all'esecuzione di codice (CVE-2012-0753).
• Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe portare all'esecuzione di codice (CVE-2012-0754).
• Questo aggiornamento risolve una vulnerabilità di bypass della protezione che potrebbe portare all'esecuzione di codice (CVE-2012-0755).
• Questo aggiornamento risolve una vulnerabilità di bypass di protezione che potrebbe portare all'esecuzione di codice (CVE-2012-0756).
• Questo aggiornamento risolve una universale vulnerabilità cross-site scripting che potrebbe essere utilizzato per intraprendere azioni per conto di un utente (CVE-2012-0767).

Gli utenti di Adobe Flash Player sono invitati ad aggiornare immediatamente l'ultima variante per assicurarsi che siano protetti contro le operazioni maligne. L’update di Adobe Flash Player è stato integrato direttamente nell'ultima versione di Chrome 17.0.963.56.

Digitando nella barra degli indirizzi l'URL about:plugins oppure cliccando qui, si dovrà leggere l'indicazione del numero di versione 11.1.102.62 accanto alla voce Flash. Adobe Flash Player 11.1.102.62 è disponibile qui. Flash Player 11 per Android è aggiornabile direttamente dall’Android Market.

Mozilla Firefox 10 disponibile per download, novità e risoluzione bug

Mozilla ha rilasciato la versione 10 di Firefox disponibile sul sito di Mozilla. "Firefox 10 per Windows, Mac e Linux introduce potenti strumenti per gli sviluppatori e rende più semplici gli aggiornamenti rendendo i componenti aggiuntivi compatibili per impostazione predefinita", si legge sul sito di Mozilla Europe. Firefox 10 introduce potenti strumenti per gli sviluppatori e rende più semplici gli aggiornamenti rendendo i componenti aggiuntivi compatibili per impostazione predefinita. La nuova versione del browser di casa Mozilla integra una serie di strumenti che permettono agli sviluppatori di cambiare aspetto e funzionalità dei siti web in tempo reale. Con Page Inspector -strumento di Analisi Pagina - è possibile “sbirciare” nella struttura e nel layout di una pagina web senza dover uscire da Firefox. Ciò significa poter navigare velocemente tra gli elementi di una pagina, nonché visualizzarne la struttura HTML. Lo strumento di Analisi Stili (Style Inspector) inoltre rende più semplice modificare lo stile dei siti web. Gli sviluppatori hanno accesso veloce alle proprietà CSS e possono visualizzare o cambiarne i valori utilizzando per i propri siti direttamente Firefox.

Cosa c'è di nuovo

• Il pulsante in avanti è ora nascosto fino a quando non si torna indietro
• La maggior parte dei componenti aggiuntivi sono ora compatibili con le nuove versioni di Firefox per default
• Anti-Aliasing per WebGL è da adesso implementata (bug 615976)
• CSS3 3D Transforms sono ora supportati (bug 505115)
• Nuovo elemento per il bi-direzionale isolamento testo, insieme con il supporto proprietà CSS (bug 613149 e 662288)
• API Schermo intero consentono di creare un'applicazione web che gira a pieno schermo (vedere la pagina delle caratteristiche)
• Mozilla ha aggiunto IndexedDB API per abbinare più da vicino le specifiche
• Ispezionare lo strumento con evidenziazione dei contenuti, include nuove CSS Style Inspector
• Mac OS X - dopo aver installato l'ultima versione di Java da parte di Apple, Firefox potrebbe bloccarsi quando si chiude una scheda con un applet Java installato (bug 700835)
• Alcuni utenti potrebbero sperimentare un crash quando si spostano i segnalibri (bug 681795)

Il “blocco per gli appunti” (Scratchpad) ora utilizza il code editor Eclipse Orion per fornire evidenziazione della sintassi ed altre caratteristiche che rendono più semplice la scrittura di codice JavaScript. Firefox 10 introduce il Mozilla API Full-Screen per lo sviluppo di siti e applicazioni web a schermo intero. La nuova release del browser aggiunge inoltre supporto alle funzioni che semplificano la realizzazione di esperienze web in 3D con tecnologie open. Mozilla è stato pioniere nell’utilizzo all’interno del suo browser di WebGL, uno standard web che consente a siti ed applicazioni di realizzare grafica in 3D senza l’utilizzo di software di terze parti. Firefox ora supporta Anti-Aliasing per WebGL, uno strumento che permette di creare oggetti che si combinano tra loro e che possono essere spostati agevolmente. Inoltre supporta CSS 3D Transforms, per animare e trasformare in 3D elementi bidimensionali utilizzando HTML5, senza che siano necessari plugin di terze parti. Contestulamente è stato rilasciato Firefox per Android (note di rilascio qui). E' possibile installare l'aggiornamento dal browser (Firefox / Aiuto / Informazioni su Firefox) o dal sito ufficiale di Firefox.

McAfee mette in guardia gli utenti sulle dodici truffe di Natale più diffuse

E' questa la stagione in cui i consumatori passano più tempo online - shopping per i regali, ricerca di offerte vacanza sui nuovi gadget digitali e pianificazione dei ritrovi con i familiari e, naturalmente, con l'online banking o mobile per assicurarsi che ci si possa permettere tutto. Ma prima di accedere da un PC, Mac o dispositivo mobile, si dovrebbero tenere d'occhio alle "12 truffe di Natale", la dozzina di truffe online  più pericolose in questa stagione di festa che McAfee ha annunciato oggi.

"I criminali informatici si sfregano le mani dalla gioia quando pensano alle vacanze. Se siete come me allora probabilmente siete impegnati a fare piani di viaggio, shopping per i regali e occasioni, l'aggiornamento di Facebook e la connessione con gli amici", ha dichiarato Gary Davis, direttore marketing dei prodotti consumer di McAfee. "Tuttavia, la stragrande maggioranza delle persone non hanno la protezione di sicurezza per il loro smartphone o tablet, nonostante li utilizzano pesantemente durante la stagione delle vacanze. Avrete bisogno di stare un passo avanti per questa stagione di cyber-scrooges, e assicurarvi di avere la protezione per tutti i propri dispositivi Internet-enabled. Altrimenti, si potrebbe rischiare di dare ai cattivi il dono più grande di tutte - le proprie informazioni personali e finanziarie!".

Le "12 truffe di Natale" secondo McAfee

1. Malware Mobile - Un recente sondaggio National Retail Federation (NRF), datato 19 ottobre, ha scoperto che il 52,6 per cento dei consumatori americani che possiedono uno smartphone hanno detto che useranno il loro dispositivo per le attività connesse alle vacanze-shopping, sia che si tratti di prodotti della ricerca, riscattare coupon, acquistare doni o vacanza o.  I malware destinati ai dispositivi mobili sono in crescita, e gli smartphone Android sono più a rischio. McAfee cita un aumento del 76 per cento del malware mirato ai dispositivi Android nel secondo trimestre del 2011 rispetto ai primi, il che rende la piattaforma smartphone più mirata. E' stato recentemente scoperto il nuovo malware che ha come obiettivo il codice QR, un codice a barre digitale di cui i consumatori possono eseguire la scansione con il proprio smartphone per trovare buone offerte il Black Friday e Cyber Monday, o semplicemente per conoscere i prodotti che vogliono acquistare.

2. Applicazioni mobili dannose -Si tratta di applicazioni mobili progettate per rubare informazioni dagli smartphone, o inviare messaggi di testo costosi senza il consenso dell'utente. Le applicazioni pericolose sono di solito offerte gratuitamente, e si mascherano come applicazioni per l'intrattenimento, come i giochi. Per esempio, l'anno scorso, 4,6 milioni di utenti smartphone Android hanno scaricato un app wallpaper sospetta che ha raccolto e trasmesso i dati degli utenti a un sito in Cina.

3. Promozioni e Concorsi falsi su Facebook - Chi non vuole vincere alcuni premi gratuiti o ottenerne uno grande intorno alle vacanze? Purtroppo, i truffatori sanno che queste esche sono attraenti e hanno cosparso di Facebook con promozioni fasulle e concorsi volti a raccogliere informazioni personali. Una truffa recente pubblicizzava due biglietti aerei gratuiti, ma i partecipanti dovevano compilare sondaggi più le richieste di informazioni personali.

4. Scareware, o falsi software antivirus - Lo scareware è il software antivirus fasullo che inganna l'utente a credere che il proprio computer è a rischio o già infetto, in modo che accetti di scaricare e pagare per il software fasullo. Questa è oggi una delle minacce Internet più comuni e pericolose, con una stima di un milione di vittime che cadono in questa truffa ogni giorno. Nel mese di ottobre 2010, McAfee ha riferito che gli scareware hanno rappresentato il 23% di tutti i collegamenti Internet pericolosi, ed è stato ripreso negli ultimi mesi.

5. Screensaver delle vacanze - Portare l'atmosfera delle vacanze a casa vostra o suoni al PC funzionano come un'idea divertente per entrare nello spirito della festa, ma fate attenzione. Una recente ricerca di uno Santa Claus screensaver che promette di farvi "volare con Babbo Natale in 3D" è malizioso. Sono state riconosciute suonerie e e-cards con tema le vacanze molto dannose.

6. Malware per Mac - Fino a poco tempo, gli utenti Mac si sentivano abbastanza isolati dalle minacce alla sicurezza on-line, poiché la maggior parte erano destinati a PC. Ma con la crescente popolarità dei prodotti Apple, sia per affari che per uso personale, i criminali informatici hanno progettato una nuova ondata di malware indirizzato dritto agli utenti Macintosh. Secondo McAfee Labs™, a partire dal tardo 2010, ci sono stati 5.000 pezzi di malware che hanno colpito il Mac, e questo numero è in aumento del 10 per cento su ogni mese.

7. Truffe phishing a tema vacanze - Il phishing è l'atto di ingannare i consumatori a rivelare informazioni o eseguire azioni che normalmente non farebbero online utilizzando le email fasulle o messaggi social media. I truffatori sanno che molte persone sono occupate durante le vacanze in modo da adattare le loro e-mail e i messaggi sociali con i temi delle feste, nella speranza di ingannare i destinatari a rivelare informazioni personali.

• Un comune phishing vacanza è un avviso fasullo da UPS, dicendo che avete un pacchetto e la necessità di compilare un modulo allegato per averlo consegnato. Il modulo può chiedere dati personali o finanziari che andrà direttamente nelle mani del cyberscammer.

• Il phishing bancario continua ad essere popolare e le festività natalizie significa che i consumatori spenderanno più denaro e controlleranno i saldi bancari più spesso. Da luglio a settembre di quest'anno, McAfee Labs ha identificato circa 2.700 URL di phishing al giorno.

• Lo smishing-SMS-phishing continua a destare preoccupazione. I truffatori inviano i loro messaggi falsi attraverso un avviso di testo a un telefono, notificando ad un ignaro consumatore che il suo conto in banca è stata compromesso. I cybercriminali poi dirigono il consumatore a chiamare un numero di telefono per ottenere la riattivazione e raccolgono le informazioni personali dell'utente, incluso il numero di previdenza sociale, indirizzo e dettagli del conto.

8. Truffe dei coupon online - Si stima che circa il 63 per cento degli acquirenti effettuano ricerche per i tagliandi on-line o occasioni quando acquistano qualcosa su Internet, e recenti dati NRF (19 ottobre 2011) mostrano che i consumatori stanno usando anche il loro smartphone (17,3 per cento) e tabllet (21,5 per cento), per riscattare quelli buoni. Ma attenzione, perché i truffatori sanno che, offrendo un irresistibile coupon online, possono convincere la gente a consegnare alcune delle loro informazioni personali.

• Una delle frodi più popolare è quello di attirare i consumatori con la speranza di vincere un iPad "libero". I consumatori cliccarno su un sito "phishing", che può provocare spam e possibilmente effettuare il furto di identità.

• Ai consumatori vengono offerti un codice coupon online e una volta che sono d'accordo, viene chiesto di fornire informazioni personali, inclusi i dettagli delle carte di credito, password e altri dati finanziari.

9. Truffa degli acquirenti misteriosi - Gli acquirenti misteriosi sono persone che vengono assunti per fare acquisti in un negozio e riferire sul servizio al cliente. Purtroppo, i truffatori stanno usando questo lavoro divertente per cercare di attirare gli utenti a rivelare informazioni personali e finanziarie. Ci sono state segnalazioni di truffatori che inviano messaggi di testo alle vittime, offrendosi di pagare 50 dollari l'ora per diventare un Mystery Shopper, e chiedendo loro di chiamare un numero se sono interessati. Una volta che la vittima chiama, vengono richieste le loro informazioni personali, tra cui carte di credito e numeri di conti bancari.

10. Email malware su "wrong transaction" di hotel -  Molte persone viaggiano durante le vacanze, per cui non sorprende che i truffatori hanno progettato truffe legate ai viaggi, nella speranza di farli cliccare su messaggi pericolosi. In un recente esempio, un truffatore ha inviato e-mail che sembravano provenire da un albergo, sostenendo che una "wrong transaction" ("operazione errata") era stato scoperta sulla carta di credito del destinatario. E' poi stato ​​chiesto di compilare un allegato modulo rimborso. Una volta aperto, il malware scarica l'allegato sulla loro macchina.

11. Truffe dei regali "It" - Ogni anno ci sono i regali più desiderati, come i giocattoli e gadget, che si esauriscono all'inizio della stagione. Quando un regalo è ambito, non solo i venditori marcano il prezzo, ma i truffatori iniziano anche a pubblicizzare questi doni su siti web non autorizzati e le reti sociali, anche se non li hanno. Quindi, i consumatori potrebbero finire solo per pagare un oggetto e dando via la carta di credito senza ricevere nulla in cambio. Una volta che i truffatori hanno i dettagli finanziari personali, vi è scarsa possibilità di ricorso.

12. Truffe "sono lontano da casa" - Inviare l'informazione di una vacanza su siti di social networking potrebbe essere effettivamente pericoloso. Se qualcuno è collegato con persone che si non conoscono su Facebook o altri siti di social networking, questi potrebbero vedere i loro post e decidere che può essere un buon momento per derubarli. Inoltre, una rapida ricerca online può facilmente restituire il loro indirizzo di casa.

"Non vogliamo che i consumatori siano ossessionati dal truffe delle vacanze passate, presenti e future", ha dichiarato Jim Walter, manager di McAfee Labs. "Con l'aumento degli attacchi malware e altri smartphone, tablet e Mac, gli utenti devono restare vigili e assicurarsi di proteggere tutti i loro dispositivi, non solo il loro PC di casa - che non possono permettersi di lasciare la porta aperta ai cyber-grinches nel periodo che si avvicina alle vacanze".

Come proteggersi

Gli utenti di Internet possono proteggersi dal crimine informatico con i seguenti consigli rapidi da McAfee:

• Scaricare applicazioni mobili solo da app store ufficiali, come iTunes e Android Market e leggere le recensioni degli utenti prima di scaricarle.

• Essere estremamente vigilanti in sede di revisione e di risposta alle email.

• Attenzione alle offerte troppo belle per essere vere sui social network (come i biglietti aerei gratuiti). Non accettare mai di rivelare i vostri dati personali solo per partecipare a una promozione.

• Non accettare richieste sui social network da parte di persone che non conoscete nella vita reale. Attendere a pubblicare le immagini e commenti sulla vostra vacanza non prima di essere già tornati a casa.

Assicuratevi di avere attiva, una protezione completa per tutti i dispositivi. McAfee ® All Access è l'unico prodotto che consente di proteggere una vasta gamma di dispositivi Internet-enabled, inclusi PC, Mac, smartphone, tablet e netbook, ad un basso prezzo per gli individui e le famiglie. Per ulteriori informazioni, visitare il sito http://home.mcafee.com/store/all-access-security.