Megafalla in Flash, a rischio milioni di utenti

Il diffusissimo player Flash distribuito da Macromedia come plug-in per i browser contiene una grave falla che potrebbe mettere in pericolo la sicurezza di un grandissimo numero di utenti del Web. Patch super raccomandata

Roma - Per gli utenti del Web Ŕ scattato l'allarme rosso. Quello che infatti viene considerato uno dei software pi¨ diffusi al mondo, il Flash Player, contiene una seria vulnerabilitÓ di sicurezza che, almeno potenzialmente, potrebbe interessare un numero di utenti molto vicino a alla percentuale fornita da Macromedia, e superiore al 90%, dei browser Web che hanno il plug-in di Flash installato.

La vulnerabilitÓ, scoperta dalla societÓ di sicurezza eEye Digital Security, affligge tutte le versioni del plug-in di Flash Player (tranne l'ultima versione patchata, la 6.0.65.0) e tutte le maggiori piattaforme: Windows, Linux, Unix e Macintosh.

Secondo quanto riportato nell'advisory di sicurezza di eEye, la falla consiste in un buffer overflow sfruttabile da un aggressore attraverso la creazione di un file SWF contenente un header malformato: tale file, una volta aperto con il player Flash, pu˛ causare l'esecuzione di comandi e compromettere il sistema. In alcuni casi eEye sostiene che la vulnerabilitÓ possa essere sfruttata anche attraverso una e-mail HTML.
Ci˛ che secondo eEye contribuisce a rendere le vulnerabilitÓ di Flash Player molto temibili Ŕ il fatto che questo software non preveda alcun tipo di aggiornamento automatico: solo i creatori di contenuti possono decidere di includere nelle proprie animazioni Flash la richiesta all'utente di scaricare una versione pi¨ aggiornata del player. Questo, secondo la societÓ di sicurezza, rallenta a dismisura il processo di aggiornamento, soprattutto considerando l'entitÓ del bacino di utenti di Flash.

Macromedia raccomanda a tutti gli utenti di scaricare immediatamente da qui la versione aggiornata del plug-in di Flash Player.
TAG: sicurezza
83 Commenti alla Notizia Megafalla in Flash, a rischio milioni di utenti
Ordina
  • Gent.mo Mauro Michelotti,
    Complimentandomi del sito così perfettamente realizzato adatto alla comprensione di tutti nella
    semplicità e nella immediatezza, formulo i voti augurali per un anno in cui si realizzi il primo gradino
    della pace: "NESSUNO E' CATTIVO, MA TUTTI POSSONO DIVENTARLO".
    Gesualdo Fratini
    non+autenticato
  • Nel comunicato si legge a proposito della versione 6.0.65 che sarebbe sicura, mentre gli utenti mac (almeno quelli di OS X) hanno la 6.0.67 a disposizione almeno da una settimana.
    Quindi?

    O la notizia è vecchia di qualche settimana, o c'è qualcosa che non va...
    non+autenticato
  • rileggi quello che hai scritto

    >LOL<
    non+autenticato
  • All'inizio il web era il terrore dei grafici: font, colori, formati che cambiano a seconda del browser, html e java da studiare.
    Quindi Internet veniva snobbata dai grafici che continuavano a prediligere la stampa (comunque anche quella non esente da casini).

    Internet era in mano a programmatori e tecnici che si preoccupavano della correttezza dell'html, della leggerezza delle immagini, dell'immediatezza dell'accesso all'informazione.

    Flash ha permesso che i grafici mettano sul web le loro "creazioni e brocures" che vendono a carissimo prezzo a chi vuole un sito, a loro dire "dinamico", pieno di inutili effetti che confondono l'utente e lo costringono ad attendere parecchio per il caricamento.

    Comunque sembra che il cliente stia dalla loro parte perche' non riesce ad apprezzare una pagina "ragionata" ed efficace ma riesce ad apprezzare una pagina colorata e movimentata e la valuta di piu' e naturamente e' disposto a pagarla di piu'
    Triste anche se, per quanto riguarda l'aspetto funzionale, vale di meno.

    non+autenticato
  • - Scritto da: Anonimo
    >
    > Comunque sembra che il cliente stia dalla
    > loro parte perche' non riesce ad apprezzare
    > una pagina "ragionata" ed efficace ma riesce
    > ad apprezzare una pagina colorata e
    > movimentata e la valuta di piu' e
    > naturamente e' disposto a pagarla di piu'
    > Triste anche se, per quanto riguarda l'aspetto
    > funzionale, vale di meno.

    Bhe, sai e' un po' come quando gli europei arrivavano nelle isole di selvaggi e offrivano perline corate in cambio di oro.

    Ovviamente gli indigeni che non avevano mai visto nulla del genere erano pure ben contenti che gli si riempisse di spazzatura l'isola.

    Uga Buga Utonto.
    non+autenticato
  • ragionando cosi internet sarebbe rimasta arpanet, usata solo da pochi un fesso chiamato Henry Ford diceva che si ha vero progresso solo quando le nuove tecnologie sono accessibili a tutti... ciò non da a tutti il permesso di usarle in modo indiscriminato.
    E temo che ad utilizzare il bug del player non sia un grafico, ma un programmatore...
    non+autenticato

  • - Scritto da: Anonimo
    > ragionando cosi internet sarebbe rimasta
    > arpanet, usata solo da pochi un fesso
    > chiamato Henry Ford diceva che si ha vero
    > progresso solo quando le nuove tecnologie
    > sono accessibili a tutti... ciò non da a

    perché, grazie a Flash tu accedi alla "nuova tecnologia"?
    accedi alla scritta animata, e ti piace perché ti ricorda quella che hai visto per 30 anni alla televisione, ecco a cosa accedi! e intanto il grafico flash accede al conto in banca della tua azienda.

    certo che a citare siete proprio bravi... a ragionare un po' meno, ma tant'è.
  • frena un attimo, non mi conosci chi sta scrivendo e non sai di chi si tratta quindi non tirare conclusioni affrettate (in altre parole seda la boria); si parlava di elitarismo di programmatori nei confronti dei flasher (e questo è già un errore, sai cos'è l'action script?). Magari tu utilizzi l'ultraedit per scivere quelle poche lettere commerciali che ti capita di dover scrivere.
    Non ammetti l'utilizzo di un editor avanzato fermo restando il labor limae fatto col notepad, ma su... programmare in html non è così impossibile, ma non è nella natura stessa del computer il dover semplificare calcoli, procedure ed altre rotture di cocomeri?
    Qui non si tratta di fare una gara di QI, ma di utilizzare al meglio un 1/2, non ostentare virtuosismi inutili...
    Ma con certa gente è sempre la stessa storia: >
    non+autenticato
  • > elitarismo di programmatori nei confronti
    > dei flasher (e questo è già un errore, sai
    > cos'è l'action script?).

    Si e' uno pseudo linguaggio? di scripting comunque non utilizzato dai grafici che preferiscono animare i loro lavori nel modo piu' semplice rendendo l'swf mooooolto meno small web file di quanto dovrebbe essere.

    > Qui non si tratta di fare una gara di QI, ma
    > di utilizzare al meglio un 1/2, non
    > ostentare virtuosismi inutili...

    E cos'altro puoi fare con flash??? piu' inutile di così!!
    Far muovere scritte ed immagini in maniera caotica.
    La prima volta che vedi una pagina creata con tecnologia flash puo' anche piacere, poi quando devi leggere il testo mentre una o piu' parti della pagina si agitano, lampeggiano, suonano anche!!!! incomincia il vero calvario.

    Francamente oggigiorno occorre inserire, ma con oculatezza, qualche "monata" in flash nelle proprie pagine oppure la concorrenza convicera' i tuoi clienti che, per quanto bravo tu sia, sei rimasto indietro e non ti sei aggiornato. Triste

    > Ma con certa gente è sempre la stessa
    > storia: >

    E' gia' quelli che son d'accordo con me sono intelligenti gli altri sono somari eh? A bocca aperta
    non+autenticato

  • >
    > Si e' uno pseudo linguaggio? di scripting
    > comunque non utilizzato dai grafici che
    > preferiscono animare i loro lavori nel modo
    > piu' semplice rendendo l'swf mooooolto meno
    > small web file di quanto dovrebbe essere.


    e tu che ne sai?




    >
    > E cos'altro puoi fare con flash??? piu'
    > inutile di così!!

    solo quello se non usi l'action script

    > La prima volta che vedi una pagina creata
    > con tecnologia flash puo' anche piacere, poi
    > quando devi leggere il testo mentre una o
    > piu' parti della pagina si agitano,
    > lampeggiano, suonano anche!!!! incomincia il
    > vero calvario.

    qui si tratta del buon senso di chi la crea la pagina... critica chi non sa utilizzare flash non tutti coloro che lo usanoCon la lingua fuori


    >
    > > Ma con certa gente è sempre la stessa
    > > storia: >
    >
    > E' gia' quelli che son d'accordo con me sono
    > intelligenti gli altri sono somari eh? A bocca aperta

    no, intendevo il dover per forza scadere in un dualismo manicheo senza possibilità di contatto

    se poi ho quotato quello che intendevi tu quando hai scritto :

    >certo che a citare siete proprio bravi... a ragionare un po' >meno, ma tant'è.

    non ho + le idee chiare riguardo al tuo concetto di "apertura al dialogo"



    non+autenticato
  • > e tu che ne sai?

    sono costretto ad utilizzarlo per sgonfiare i swf e per dare una parvenza di "finta" interattivita'

    > >
    > > E cos'altro puoi fare con flash??? piu'
    > > inutile di così!!
    >
    > solo quello se non usi l'action script

    Ovvero una brutta copia di java.

    > qui si tratta del buon senso di chi la crea
    > la pagina... critica chi non sa utilizzare
    > flash non tutti coloro che lo usanoCon la lingua fuori

    Se per te chi non utilizza l'action script non sa utilizzare flash allora arriviamo oltre al 95%

    flash e' stato concepito per aiutare i grafici a non pensare troppo quando passano il loro lavoro da photoshop al web.

    >
    > no, intendevo il dover per forza scadere in
    > un dualismo manicheo senza possibilità di
    > contatto

    il tuo nihilismo e sconcertante.

    >
    > se poi ho quotato quello che intendevi tu
    > quando hai scritto :
    >
    > >certo che a citare siete proprio bravi... a
    > ragionare un po' >meno, ma tant'è.
    >
    > non ho + le idee chiare riguardo al tuo
    > concetto di "apertura al dialogo"
    >
    NO, non hai le idee chiare nemmeno sulla grammatica.
    A bocca apertaDD
    non+autenticato
  • > E cos'altro puoi fare con flash??? piu'
    > inutile di così!!

    puoi dare interattivita'
    senza dover fare roundtrip continui verso il server...
    dal 5 in poi flash puo' aprire anche normalissime socket e comunicare...
    io personalmente ci ho fatto diverse chat, molto piu' leggere delle equivalenti applet java e un motore di rendering per dati meteo che sia ggiorna in tempo reale...
    ste cose coll'html semplicemente NON le puoi fare..

    > Far muovere scritte ed immagini in maniera
    > caotica.

    deve essere per forza caotica?

    > La prima volta che vedi una pagina creata
    > con tecnologia flash puo' anche piacere, poi
    > quando devi leggere il testo mentre una o
    > piu' parti della pagina si agitano,
    > lampeggiano, suonano anche!!!! incomincia il
    > vero calvario.
    >

    succederebbe anche se dovessi leggere un libro scritto a mano, con grossi errori grammaticali e molta confusione nell'esposizione...
    se una cosa e' fatta male non si puo' sempre dare la colpa al mezzo usato per farla...

    > Francamente oggigiorno occorre inserire, ma
    > con oculatezza, qualche "monata" in flash
    > nelle proprie pagine oppure la concorrenza
    > convicera' i tuoi clienti che, per quanto
    > bravo tu sia, sei rimasto indietro e non ti
    > sei aggiornato. Triste
    >

    e che colpa ne hanno flash e macromedia?

    ciao
    maks
    179
  • - Scritto da: maks

    > > Francamente oggigiorno occorre inserire, ma
    > > con oculatezza, qualche "monata" in flash
    > > nelle proprie pagine oppure la concorrenza
    > > convicera' i tuoi clienti che, per quanto
    > > bravo tu sia, sei rimasto indietro e non ti
    > > sei aggiornato. Triste

    > e che colpa ne hanno flash e macromedia?

    Nessuna: come si diceva all'inizio del tread e' colpa dell'Uga Buga Utonto.
    non+autenticato

  • > > sai cos'è l'action script?).
    > Si e' uno pseudo linguaggio? di scripting
    > comunque non utilizzato dai grafici che
    > preferiscono animare i loro lavori nel modo
    > piu' semplice rendendo l'swf mooooolto meno
    > small web file di quanto dovrebbe essere.
    Ahia! Che cazzo scrivi?
    Senti se non sai nemmeno di cosa si parla almeno fai il favore di stare zitti, certo siamo tutti bravi ad elargire commenti, ma se non ci hai mai lavorato per bene, non puoi nemmeno permetterti di giudicare.

    Actionscript è un linguaggio ECML che segue uno standard (per dirla tutta è similissimo -praticamente identico-) a javascript (come mai javascript è scripting e actionscript è pseudoscripting?). Perchè bisogna sempre sottovalutare un programma solo dal cattivo uso che se ne fa?

    E' vero flash viene sovrautilizzato e il suo uso spesso è malfatto: movie pesanti, animazioni non ridotte...ecc...ecc...

    Sappi che flash dispone di diversi algoritmi di alleggerimento, encoder per immagini e suoni ecc..ecc....
    potrei trasformare ogni immagine di un sito in un flash rendendolo più leggero se non ci fosse il problema che l'evocazione di un plugin (qualsiasi) rallenterebbe di molto l'apparizione del sito.

    L'unico problema di flash è che essendo veramente troppo userfriendly spesso anche i più maldestri che non hanno avuto una educazioni sulle basi del web (portabilità, accessibilità, usabilità) si dilettano ad usarlo.

    > E cos'altro puoi fare con flash??? piu'
    > inutile di così!!
    > Far muovere scritte ed immagini in maniera
    > caotica.

    Da qua si evince che non ne sai assolutamente niente. Flash è in grado di comunicare via socket (porte di rete) e comunicare con un programma server in grado di smistare e riscrivere il contenuto flash che sta girando sul client.
    In pratica con flash, sono perfettamente in grado di creare giochi multiplayer in tempo reale (e non facendo reload di una pagina php/asp/jsp ogni 5 minuti per ricevere gli aggiornamenti).
    Questo è solo un esempio, flash può fare tutto quello che una applet java può fare, il concetto è lo stesso, solo che lo strumento grafico è integrato e perciò più fluido che nelle applet java.

    A questo lancio una riflessione, vi ricordate 2 anni fa che sul web era stracolmo di pulsantiere fatte in java ultranimate?
    Il concetto di malutilizzo è il medesimo.... ovvero: l'abuso.

    > Francamente oggigiorno occorre inserire, ma
    > con oculatezza, qualche "monata" in flash
    > nelle proprie pagine oppure la concorrenza
    > convicera' i tuoi clienti che, per quanto
    > bravo tu sia, sei rimasto indietro e non ti
    > sei aggiornato. Triste

    Flash non è una monata... Il concetto è che se non ti aggiorni sei fottuto!


    > > Ma con certa gente è sempre la stessa
    > > storia:
    > E' gia' quelli che son d'accordo con me sono
    > intelligenti gli altri sono somari eh? A bocca aperta
    No è che la gente si permette di parlare senza conoscere ciò di cui parla.

    max
    non+autenticato
  • Scusate ma voi conoscete un sistema di programmazione o di visualizzazione web che non abbia problemi e falle?? Flash non è perfetto ma ha portato un pò di "creatività" nel web, la gente che gira per il web, e non si preoccupa con che sistema è stato fatto un sito, vuole qualcosa di "gratevole" da guardare. Come tutti i sisteme la "facilità di fruizione" è data da chi crea il sito, anche nel normalissimo html se inserisci applet o gif troppo pesanti o in quantità industriale rallenta il caricamento del sito. Per la sicurezza macromedia ci sta lavorando già con il sistema remoting del nuovo mx ha fatto tanto nel futuro migliorerà la cosa rendendola affidabile al 100%.....
  • Pienamente d'accordo!

    Vorrei aggiungere che non solo non esiste un tipo di programmazione sicura al 100%, ma Flash è quella meno pericolosa!!!!!!!

    Di fatto la cosa è logica: se si ha a disposizione una montagna di risorse, in un certo linguaggio, per fare in modo da creare applicazioni enormemente dinamiche e dal largo uso, di conseguenza si avranno più possibilità di trovare bug o altro per fottere il mal capitato di turno!

    O! ma è tanto facile da capire (certo non per merito mio, a vedere da come scrivo Occhiolino))) ) Flash è una svolta nel web, unisce grafica, animazione, e un PIZZICO di programmazione, sì avete capito bene, un pizzico, perchè se ci si poteva fare TUTTO gli altri linguaggi andavano a putt.... farsi benedire!


    Ciaooooooooo!!!!!!!!!
    non+autenticato
  • > O! ma è tanto facile da capire (certo non
    > per merito mio, a vedere da come scrivo
    > Occhiolino))) ) Flash è una svolta nel web, unisce
    > grafica, animazione, e un PIZZICO di
    > programmazione, sì avete capito bene, un
    > pizzico, perchè se ci si poteva fare TUTTO
    > gli altri linguaggi andavano a putt....
    > farsi benedire!

    Veramente gli unici limiti di flash sono i seguenti:

    1) Manca un supporto 3D, essendo lo strumento grafico integrato, le animazioni sono più fluide ma rende difficile uscire dallo schema bidimensionale, al contrario in un applet java si può utilizzare il 3D in quanto scrivi tutto direttamente te, compresa la grafica. (ma onestamente avete mai visto un sito web in 3D? sarebbe una porcata!!!!!).

    2) il plugin come cita l'articolo non viene aggiornato automaticamente dal sistema, ma è un compito dell'utente preoccuparsi di tenere aggiornato il proprio player (oddio con tutti gli utonti in giro... questo è un problema gravissimo).

    3) flash non può accedere (proprio come per le applet java) al contenuto (root) del tuo personal computer (tranne che per alcune variabili d'ambiente rilasciate sul computer - alla stregua di un cookies- ), quindi proprio come un applet è un applicazione senza potere di salvataggio locale e quindi bisogna utilizzare linguaggi serverside per usufruire di opzioni di salvataggio: questa limitazione rende altresì flash veramente sicuro. Proprio come le applet, il filmato flash è incapsulato e non può danneggiare file di sistema o cartelle del tuo pc. Insomma è una buona norma di sicurezza. Se non ci fosse questo limite ognuno si cagherebbe in mano nell'aprire un file flash alla stregua di un file *.exe inviato via mail (virus o no?).

    Questo lo chiami un pizzico di programmazione? si vede che anche se stimi flash non conosci a fondo quello che realmente può fare.

    Annoto: il plugin flash è più diffuso di java (e questa non è una bonza è veramente così). Inoltre flash è molto più fluido di un applet java, che spesso se troppo complesso, è deletereo per la ram del pc.

    Lancio una domanda: se flash dite che è da buttare via, allora anche le applet (medesime potenzialità) sono da buttare via.... decidete un po' voi. (stesso concetto, stessa soluzione).

    max
    non+autenticato
  • Il primo worm che fara' uso di questo bug. In effetti il vecchio IFrame Exploit e tutti quei vecchi wormetti basati sul motore di infezione di Nimda hanno fatto il loro tempo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)