c.m.g
31-03-2008, 08:05
lunedì 31 marzo 2008
Roma - Adobe (http://www.adobe.com/) sta mettendo a punto un aggiornamento per Flash Player capace di risolvere una vulnerabilità che, negli ultimi tre mesi, ha permesso ai cracker di violare migliaia di siti web.
Il problema è stato divulgato per la prima volta lo scorso dicembre da un ricercatore del Google Security Team, Rich Cannings, e consente ad un aggressore di creare un file Shockwave Flash (.swf) in grado, quando aperto, di lanciare uno script maligno. La falla, di tipo cross-site scripting, riguarda il codice generato dal comando di inserimento Flash Video in Dreamweaver e Contribute, e potrebbe essere utilizzata per creare attacchi di phishing e rubare dati agli utenti.
Lo scorso gennaio la debolezza è già stata corretta nelle applicazioni utilizzate per creare i file Flash, tra cui Dreamweaver e Contribute, che ora generano contenuti Flash non più vulnerabili. Adobe ha però ammesso che là fuori c'è ancora un numero potenzialmente elevato di file vulnerabili, e che dunque è necessario risolvere il problema anche lato client, aggiornando il plug-in Flash Player.
Maggiori dettagli sulla vulnerabilità sono contenuti in questo advisory (http://www.adobe.com/it/support/security/bulletins/apsb08-01.html).
Adobe non ha ancora finito di stuccare l'ultima falla di Flash che gli hacker ne hanno già scoperta una nuova. Il bug è stato sfruttato per la prima volta nel corso del contest Pwn to Own (http://punto-informatico.it/p.aspx?id=2239071) tenutosi presso la conferenza CanSecWest (http://cansecwest.com/) di Vancouver, in Canada. Qui tre giovani ricercatori di sicurezza si sono avvalsi del bug da loro scoperto in Flash Player per prendere il controllo di un laptop su cui girava Windows Vista.
I dettagli della falla non sono ancora stati resi pubblici: i suoi scopritori hanno fatto sapere di aver già segnalato il problema ad Adobe, e di voler attendere il rilascio di una patch ufficiale prima di divulgare altre informazioni.
Fonte: Punto Informatico (http://punto-informatico.it/2239035/PI/News/Adobe-chiude-un-buco-in-Flash/p.aspx)
Roma - Adobe (http://www.adobe.com/) sta mettendo a punto un aggiornamento per Flash Player capace di risolvere una vulnerabilità che, negli ultimi tre mesi, ha permesso ai cracker di violare migliaia di siti web.
Il problema è stato divulgato per la prima volta lo scorso dicembre da un ricercatore del Google Security Team, Rich Cannings, e consente ad un aggressore di creare un file Shockwave Flash (.swf) in grado, quando aperto, di lanciare uno script maligno. La falla, di tipo cross-site scripting, riguarda il codice generato dal comando di inserimento Flash Video in Dreamweaver e Contribute, e potrebbe essere utilizzata per creare attacchi di phishing e rubare dati agli utenti.
Lo scorso gennaio la debolezza è già stata corretta nelle applicazioni utilizzate per creare i file Flash, tra cui Dreamweaver e Contribute, che ora generano contenuti Flash non più vulnerabili. Adobe ha però ammesso che là fuori c'è ancora un numero potenzialmente elevato di file vulnerabili, e che dunque è necessario risolvere il problema anche lato client, aggiornando il plug-in Flash Player.
Maggiori dettagli sulla vulnerabilità sono contenuti in questo advisory (http://www.adobe.com/it/support/security/bulletins/apsb08-01.html).
Adobe non ha ancora finito di stuccare l'ultima falla di Flash che gli hacker ne hanno già scoperta una nuova. Il bug è stato sfruttato per la prima volta nel corso del contest Pwn to Own (http://punto-informatico.it/p.aspx?id=2239071) tenutosi presso la conferenza CanSecWest (http://cansecwest.com/) di Vancouver, in Canada. Qui tre giovani ricercatori di sicurezza si sono avvalsi del bug da loro scoperto in Flash Player per prendere il controllo di un laptop su cui girava Windows Vista.
I dettagli della falla non sono ancora stati resi pubblici: i suoi scopritori hanno fatto sapere di aver già segnalato il problema ad Adobe, e di voler attendere il rilascio di una patch ufficiale prima di divulgare altre informazioni.
Fonte: Punto Informatico (http://punto-informatico.it/2239035/PI/News/Adobe-chiude-un-buco-in-Flash/p.aspx)