Sulla scia dell'annuncio di Microsoft su una grave vulnerabilità in Internet Explorer, è arrivato il bollettino APSB14-13 di Adobe riguardo una falla 0-day in Flash. L'exploit sfrutatto in natura e identificato dal codice CVE-2014-0515, si trova nel componente Pixel Bender, progettato per il video e l'elaborazione delle immagini. A metà aprile gli esperti dei Kaspersky Lab hanno rilevato due nuovi exploit SWF. Dopo alcune analisi dettagliate - si legge sul sito di Securlist - era evidente che si trattava di vulnerabilità di sicurezza mai conosciute prima.
I laboratori di Kaspersky hanno ricevuto un campione del primo exploit il 14 aprile scorso, mentre un campione del secondo è arrivato due giorni dopo, il 16 aprile. Il primo exploit è stato inizialmente registrato dal Kaspersky Security Network (KSN) il 9 aprile, quando è stato rilevato da una firma euristica generica della tecnologia brevettata di Kaspersky. Ci sono stati numerosi rilevamenti successivi, sottolineano da Kaspersky. Secondo i dati del KSN, questi exploit sono stati archiviati come movie.swf e include.swf a un sito infetto.
L'unica differenza tra i due pezzi di malware sono i loro shellcodes, spiegano gli esperti di Kaspersky. Va notato che il secondo exploit (include.swf) non è stato rilevato usando la stessa firma euristica come la prima, perché conteneva un shellcode unico. Ogni exploit arriva come file video in flash spacchettato. Il codice Action Script all'interno non era né offuscato né criptato. Come avviene di solito con questo tipo di exploit, la prima fase è uno spray heap, per preparare la memoria dinamica allo sfruttamento della vulnerabilità.
 |
| Un frammento del codice Pixel Bender vulnerabile (i dati nella casella rossa vengono modificati in base alla versione del sistema) - credit: Securlist |
Entrambi gli exploit sono stati collocati sul sito del Ministero della Giustizia siriana (http://jpic.gov.sy/), in una pagina di discussione aperta alle opinioni dei cittadini. "Ad oggi, 28 aprile, il numero di rilevamenti da parte dei nostri prodotti ha superato 30. Sono stati individuati 7 sui pc degli utenti unici, tutti in Siria, che non è sorprendente, considerando la natura del sito. È interessante notare che tutti gli utenti attaccati erano entrati nel sito web utilizzando varie versioni di Mozilla Firefox", ha specificato il ricercatore Vyacheslav Zakorzhevsky.
Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 13.0.0.182 e versioni precedenti per Windows, Adobe Flash Player 13.0.0.201 e versioni precedenti per Macintosh e Adobe Flash Player 11.2.202.350 e versioni precedenti per Linux. Questi aggiornamenti riguardano vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Per verificare la versione di Adobe Flash Player installata sul sistema, accedere alla pagina Informazioni su Flash Player.
Flash Player 13.0.0.182 installato con Google Chrome verrà aggiornato automaticamente alla versione più recente di Chrome, che comprenderà Flash Player 13.0.0.206 per Windows, Macintosh e Linux. Flash Player 13.0.0.182 installato con IE 10 sarà automaticamente aggiornato alla versione più recente di IE 10, che comprenderà Flash Player 13.0.0.206 per Win 8.0. Flash Player 13.0.0.182 installato con IE 11 sarà automaticamente aggiornato alla versione più recente di IE 11, che comprenderà Flash Player 13.0.0.206 per Win 8.1.
Nessun commento:
Posta un commento