c.m.g
10-11-2008, 23:21
martedì 11 novembre 2008
Roma - A pochi giorni di distanza dal rilascio di un importante aggiornamento di sicurezza (http://punto-informatico.it/2462771/PI/News/adobe-cura-acrobat-reader.aspx) per Reader e Acrobat, Adobe (http://www.adobe.com/) ha corretto alcune gravi vulnerabilità nel suo famoso Flash Player. Le versioni vulnerabili sono quelle precedenti alla 9.0.151.0, e non includono dunque la giovane release 10 (http://punto-informatico.it/2441063/PI/News/silverlight-flash-player-10-si-affrontano.aspx).
Nell'advisory ufficiale (http://www.adobe.com/support/security/bulletins/apsb08-20.html) Adobe spiega che le falle appena corrette potrebbero essere sfruttate per diversi tipi di attacco, tra i quali il cross-site scripting, l'iniezione di codice HTML maligno sui siti web, il furto di informazioni e il DNS rebinding (http://en.wikipedia.org/wiki/DNS_rebinding). Quest'ultimo tipo di attacco, che fa parte della famiglia cross-domain scripting, può consentire ad un aggressore di bypassare i firewall e lanciare attacchi di hijacking su larga scala. Adobe aveva già sistemato una vulnerabilità simile nel dicembre dello scorso anno.
Un altro bug è relativo alla gestione del protocollo "jar:", e potrebbe essere utilizzato da malintenzionati per accedere a certe informazioni dell'utente. Secondo Adobe, questa falla minaccia esclusivamente gli utenti di Firefox e di altri browser basati sul codice di Mozilla.
Adobe invita i propri utenti a migrare verso l'ultima major release di Flash Player, la 10. Chi non potesse o volesse farlo, può scaricare la versione 9.0.151.0 del player da qui (http://www.adobe.com/go/getflashplayer) (per verificare la versione del Flash Player installata nel proprio sistema si veda qui (http://www.adobe.com/products/flash/about/)).
Adobe ha rilasciato anche una versione aggiornata di ColdFusion, il proprio software a pagamento per la creazione di web application, che corregge un bug potenzialmente sfruttabile per l'elevazione di privilegi. I link per il download della patch sono forniti in questo advisory (http://www.adobe.com/support/security/bulletins/apsb08-21.html).
Come si è detto, alcuni giorni addietro Adobe ha applicato alcuni cerotti anche ai suoi noti software per la visualizzazione e l'authoring dei file PDF, Reader e Acrobat. Dal blog Internet Storm Center si apprende (http://isc.sans.org/diary.html?storyid=5312) che sulla rete circolano già dei documenti PDF capaci, una volta aperti, di innescare le suddette falle ed eseguire del codice maligno. A questo punto, dicono gli esperti, installare le ultime versioni di Reader e Acrobat diventa ancor più urgente.
Fonte: Punto Informatico (http://punto-informatico.it/2470028/PI/News/sicurezza-adobe-cura-flash-player.aspx)
Roma - A pochi giorni di distanza dal rilascio di un importante aggiornamento di sicurezza (http://punto-informatico.it/2462771/PI/News/adobe-cura-acrobat-reader.aspx) per Reader e Acrobat, Adobe (http://www.adobe.com/) ha corretto alcune gravi vulnerabilità nel suo famoso Flash Player. Le versioni vulnerabili sono quelle precedenti alla 9.0.151.0, e non includono dunque la giovane release 10 (http://punto-informatico.it/2441063/PI/News/silverlight-flash-player-10-si-affrontano.aspx).
Nell'advisory ufficiale (http://www.adobe.com/support/security/bulletins/apsb08-20.html) Adobe spiega che le falle appena corrette potrebbero essere sfruttate per diversi tipi di attacco, tra i quali il cross-site scripting, l'iniezione di codice HTML maligno sui siti web, il furto di informazioni e il DNS rebinding (http://en.wikipedia.org/wiki/DNS_rebinding). Quest'ultimo tipo di attacco, che fa parte della famiglia cross-domain scripting, può consentire ad un aggressore di bypassare i firewall e lanciare attacchi di hijacking su larga scala. Adobe aveva già sistemato una vulnerabilità simile nel dicembre dello scorso anno.
Un altro bug è relativo alla gestione del protocollo "jar:", e potrebbe essere utilizzato da malintenzionati per accedere a certe informazioni dell'utente. Secondo Adobe, questa falla minaccia esclusivamente gli utenti di Firefox e di altri browser basati sul codice di Mozilla.
Adobe invita i propri utenti a migrare verso l'ultima major release di Flash Player, la 10. Chi non potesse o volesse farlo, può scaricare la versione 9.0.151.0 del player da qui (http://www.adobe.com/go/getflashplayer) (per verificare la versione del Flash Player installata nel proprio sistema si veda qui (http://www.adobe.com/products/flash/about/)).
Adobe ha rilasciato anche una versione aggiornata di ColdFusion, il proprio software a pagamento per la creazione di web application, che corregge un bug potenzialmente sfruttabile per l'elevazione di privilegi. I link per il download della patch sono forniti in questo advisory (http://www.adobe.com/support/security/bulletins/apsb08-21.html).
Come si è detto, alcuni giorni addietro Adobe ha applicato alcuni cerotti anche ai suoi noti software per la visualizzazione e l'authoring dei file PDF, Reader e Acrobat. Dal blog Internet Storm Center si apprende (http://isc.sans.org/diary.html?storyid=5312) che sulla rete circolano già dei documenti PDF capaci, una volta aperti, di innescare le suddette falle ed eseguire del codice maligno. A questo punto, dicono gli esperti, installare le ultime versioni di Reader e Acrobat diventa ancor più urgente.
Fonte: Punto Informatico (http://punto-informatico.it/2470028/PI/News/sicurezza-adobe-cura-flash-player.aspx)