Adobe: aggiornamento per sistemare 34 vulnerabilità in Flash e AIR


In occasione del tradizionale Patch day mensile di agosto, Microsoft ha rilasciato 14 aggiornamenti per risolvere 58 vulnerabilità che affliggono diversi suoi prodotti, tra cui il nuovo sistema operativo Windows 10. Anche Adobe ha rilasciato un bollettino di sicurezza che risolve 34 vulnerabilità nei suoi prodotti Flash Player e Air, alcune delle quali potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Ci sono stati numerose falle di sicurezza in Flash nel corso del tempo, la più recente all'inizio di luglio di quest'anno, che si è conclusa con gli hacker che hanno eseguito codice maligno su un computer tramite un sito Web.

La falla di sicurezza è stata scoperta da Hacking Team un'azienda cyber-sorveglianza italiana, che secondo come riferito ha deciso di mantenere segreto il trucco mentre gli sviluppatori di malware ha continuato a rubare più di 400 GB di dati. A quel tempo, Adobe ha avvertito che il successo dello sfruttamento della vulnerabilità che poteva causare il crash dei sistemi. Essi hanno inoltre riconosciuto che la vulnerabilità poteva consentire agli aggressori di "prendere il controllo" dei sistemi colpiti e ciò ha comportato il rilascio di un update di protezione per Flash. 

Adobe sta lavorando al fianco del team di ricerca Google Project Zero per sviluppare le correzioni in risposta ai problemi. L'aggiornamento di questo mese ha lo scopo di correggere le vulnerabilità critiche che sono dettagliate dall'azienda nel Security Bulletin APSB 15-19. Adobe consiglia agli utenti di Flash Player Desktop Runtime per Windows e Mac l'aggiornamento alla versione 18.0.0.232 e agli utenti di Flash Player per Linux l'aggiornamento alla versione 11.2.202.508 visitando l'Adobe Flash Player Download Center o tramite il meccanismo di update automatico. 

Adobe consiglia agli utenti di Adobe Flash Player Supporto esteso l'aggiornamento alla versione 18.0.0.232 visitando http://adobe.ly/1hcQTJE. Adobe Flash Player installato con Google Chrome sarà aggiornato automaticamente alla versione più recente di Google Chrome, che include Flash Player 18.0.0.232 su Windows e Macintosh, e la versione 18.0.0.233 per Linux e Chrome OS. Adobe Flash Player installato con Microsoft Edge per Windows 10 verrà aggiornato automaticamente alla versione più recente, che include Adobe Flash Player 18.0.0.232. 

Flash Player installato con Internet Explorer 10 e 11 per Windows 8.0 e 8.1 sarà aggiornato automaticamente alla versione più recente, che include Flash Player 18.0.0.232. Si rammenta che le versioni 6, 7 e 8 di Internet Explorer non riceveranno più aggiornamenti a partire dal 12 gennaio 2016.  Adobe consiglia agli utenti dell'AIR desktop runtime, AIR SDK e AIR SDK & Compiler l'aggiornamento alla versione 18.0.0.199 visitando l'AIR download center o l'AIR developer center. Visitare la pagina di assistenza Flash Player Help per l'installazione di Flash Player. 

Gli update risolvono vulnerabilità di tipo confusion e use-after-free che potrebbero provocare l'esecuzione di codice. Le altre patch chiudono difetti di heap overflow, buffer overflow e di corruzione della memoria che potrebbero portare all'esecuzione di codice. Inoltre gli update includono l'indurimento a una attenuazione introdotta nella versione 18.0.0.209 per difendersi da corruzioni di lunghezza del vettore. Infine viene risolto un problema di integer overflow che potrebbe provocare l'esecuzione di codice. Adobe ha ringraziato un certo numero di individui e organizzazioni per il loro aiuto nello sviluppo di patch, tra cui Project Zero, Alibaba Security e FortiGuard Labs.


Nessun commento:

Posta un commento