Adobe, Microsoft e Oracle hanno rilasciato aggiornamenti per tappare falle di sicurezza critiche nei loro prodotti. Adobe ha rilasciato le patch per il suo software Flash Player, Adobe AIR e ColdFusion. Una patch da Oracle corregge almeno 25 falle in Java. E Microsoft ha spinto le patch per risolvere almeno due dozzine di vulnerabilità in un certo numero di componenti di Windows, tra cui Office e Internet Explorer. Uno degli aggiornamenti risolve una falla zero-day già sfruttata in attacchi attivi di cyber spionaggio.
Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player per sistemi Windows, Macintosh e Linux. Questi aggiornamenti riguardano delle vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Gli utenti di Adobe Flash Player runtime desktop per Windows e Macintosh devono aggiornare a Adobe Flash Player 15.0.0.189. Gli utenti di Adobe Flash Player Extended Support devono aggiornare ad Adobe Flash Player 13.0.0.250.
Gli utenti di Adobe Flash Player per Linux devono aggiornare ad Adobe Flash Player 11.2.202.411. Adobe Flash Player installato con i browser Google Chrome, Internet Explorer 10 e Internet Explorer 11 verrà automaticamente aggiornato alla versione corrente. Gli utenti di Adobe AIR desktop runtime devono aggiornare alla versione 15.0.0.293. Gli utenti di Adobe AIR SDK e AIR SDK & Compiler devono aggiornare alla versione 15.0.0.302. Gli utenti di Adobe AIR per Android devono aggiornare ad Adobe AIR 15.0.0.293.
Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni. Per verificare la versione di Adobe Flash Player installata sul proprio sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato. Per verificare la versione di Adobe AIR installata, seguire le istruzioni nella nota tecnica.
Adobe classifica questi aggiornamenti con le seguenti valutazioni di priorità. Questi aggiornamenti risolvono delle vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2014-0564, CVE-2014-0558). I restanti aggiornamenti risolvono una vulnerabilità di overflow di valori integer che potrebbero provocare l'esecuzione di codice (CVE-2014-0569). Inoltre, Adobe ha rilasciato aggiornamenti rapidi di sicurezza per le versioni ColdFusion 11, 10, 9.0.2, 9.0.1 e 9.0 per tutte le piattaforme.
Le patch risolvono una serie di problemi di autorizzazioni dal rating moderato e alcune vulnerabilità di cross-site scripting e cross-site request forgery. Adobe consiglia agli utenti di ColdFusion di aggiornare l'installazione seguendo le istruzioni fornite nella nota tecnica. Gli utenti devono altresì applicare le impostazioni di configurazione di protezione come descritto nella pagina di ColdFusion Security, nonché le revisioni di ColdFusion 11 Lockdown Guide, ColdFusion 10 Lockdown Guide e ColdFusion 9 Lockdown Guide.
Questi aggiornamenti rapidi risolvono una vulnerabilità cross-site request forgery (CVE-2014-0570) e una vulnerabilità di cross-site scripting (CVE-2014-0571). Gli altri aggiornamenti rapidi risolvono un problema di autorizzazioni di protezione che potrebbe essere sfruttato da un utente locale autenticato per bypassare IP address access control restrictions (CVE-2014-0572). Questi aggiornamenti sono contrassegnati come importanti vulnerabilità nel software, ma attualmente non vi sono attacchi in-the-wild.
Nessun commento:
Posta un commento