Adobe ha rilasciato una nuova versione di Flash Player, ed è importante che venga applica l'aggiornamento al più presto possibile. Gli utenti di Google Chrome e Microsoft Internet Explorer 10 (IE10) e IE11 possono stare tranquilli dato che i loro browser si aggiorneranno automaticamente alla versione più recente di Adobe Flash, che blocca un attacco di tipo credential-stealing. Adobe Flash Player 14.0.0.145 aiuta a mitigare una minaccia alla sicurezza evidenziata da Michele Spagnuolo, un ingegnere della sicurezza di Google.
Spagnuolo ha informato Adobe della vulnerabilità, che ha rapidamente emesso una versione aggiornata di Adobe Flash Player. Ha informato anche Google, YouTube, Twitter, Instagram, Tumblr e eBay, dato che i loro domini sembrano essere vulnerabili a questo exploit. Etichettato con l'identificatore di vulnerabilità CVE-2014-4671, la questione è stata caratterizzata da Spagnuolo come un falso cross-site request (CSRF), bug che se sfruttato consentirebbe ai pirati di rubare le credenziali di log-on degli utenti in alcuni dei più grandi siti e servizi sul Web.
La nuova versione di Flash arriva in concomitanza con i 29 aggiornamenti contenuti nel Microsoft Patch Day di luglio. Il bug, conosciuto da qualche tempo, non è stato divulgato fino a quando non è stato rivelato uno strumento di vulnerabilità chiamato "Rosetta Flash". Lo strumento permette di abusare della vulnerabilità presente sia nel player Adobe che fra le comunicazioni JSONP tra client e server. Usando il tool è possibile creare file Swf (il formato predefinito di Adobe Flash) con cui rubare i cookie di autenticazione sulle diverse piattaforme Web.
Gli attaccanti che ingannano l'utente a visitare un sito Web che ospita un file maligno Rosetta Flash, potrebbero poi rubare i cookie di autenticazione memorizzati nel browser da siti vulnerabili. Spagnuolo ha fornito degli step ai proprietari di siti Web che possono adottare per bloccare o ostacolare l'exploit. Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 14.0.0.125 e versioni precedenti per le versioni precedenti per Windows e Macintosh Linux e Adobe Flash Player 11.2.202.378.
Questi aggiornamenti riguardano vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Gli aggiornamenti includono i controlli di convalida aggiuntivi per garantire che Flash Player respinga i contenuti dannosi delle callback JSONP API vulnerabili. Gli aggiornamenti risolvono inoltre le vulnerabilità di bypass di sicurezza CVE-2014-0537 e CVE-2014-0539. Gli utenti di Adobe AIR SDK 14.0.0.110 e versioni precedenti dovranno aggiornare a Adobe AIR SDK 14.0.0.137.
Via: Computer World
Nessun commento:
Posta un commento