Adobe rilascia patch di sicurezza per Flash Media, RoboHelp e Player


Adobe ha rilasciato gli aggiornamenti di sicurezza per Flash Media Server, Photoshop CS5 e RoboHelp al fine di affrontare vulnerabilità critiche di sicurezza dei prodotti. Il difetto rattoppato in Flash Media Server (FMS) può essere sfruttato da un utente malintenzionato per ottenere una condizione di Denial of service e prevenire che utenti legittimi possano accedere al contenuto. La vulnerabilità è stata identificata come CVE-2011-2132 nel Common Vulnerabilities and Exposures del database ed è accreditato al Knud Erik Højgaard di nsense.

"Adobe consiglia di aggiornare Flash Media Server (FMS) e le versioni di Flash Media Server 4.0.3 o Flash Media Server 3.5.7, rispettivamente", scrive l'azienda. Nel frattempo, una vulnerabilità di corruzione della memoria che può portare all'esecuzione di codice arbitrario è stata affrontata in Adobe Photoshop CS5 e CS5.1. La falla (CVE-2011-2131) è stata segnalata da Francis Provencher dei laboratori di ricerca Protek e può essere sfruttata per ingannare le vittime ad aprire un pericoloso file GIF. 

Infine, una debolezza cross-site scripting (XSS) è stato individuata e patchata su RoboHelp, authoring dello strumento di aiuto di Adobe. La falla (CVE-2011-2133) può essere sfruttata aprendo un URL appositamente predisposto. Le patch sono state rilasciate per RoboHelp 9 (versione 9.0.1.232 e precedenti), RoboHelp 8, RoboHelp Server 9 e RoboHelp Server 8 per Windows. Il download è disponibile all'indirizzo http://www.adobe.com/support/flashmediaserver/downloads_updaters.html

Diversamente dalle vulnerabilità negli altri due prodotti, il tasso di debolezza di questa XSS è importante per Adobe. È stata scoperta e segnalata da Roberto Suggi Liverani di Security-Assessment.com. Adobe ha rilasciato anche aggiornamenti critici di sicurezza per Flash Player e Shockwave Player che consiglia agli utenti di installare il più presto possibile. La società ha avuto una discussione con un ricercatore di sicurezza il numero effettivo di vulnerabilità corretto nella versione di Flash Player. 

L'ingegnere di sicurezza di Google Tavis Ormandy sostiene che la nuova versione risolve una serie di 400 vulnerabilità che ha scoperto nel prodotto durante un controllo di sicurezza. Il nuovo rilascio di Adobe Flash Player 10.3.183.5 contiene tredici indirizzi di overflow del buffer, la corruzione della memoria e le vulnerabilità di integer overflow. Le ultime versioni di Flash Player possono essere scaricate per i diversi sistemi operativi in uso, collegandosi all'indirizzo http://www.adobe.com/support/flashplayer/downloads.html.

Nessun commento:

Posta un commento