Alfonso Maruccia

Flash, patch in anticipo sui tempi

Adobe rilascia una nuova versione del suo player di contenuti multimediali per mettere una pezza a una vulnerabilità già sfruttata per condurre attacchi mirati. Gli utenti Android dovranno attendere ancora un po'

Roma - Dopo l'aggiunta della nuova funzionalità di rimozione dei cosiddetti "Flash cookie" del mese scorso, il player multimediale di Adobe si aggiorna ancora: questa volta si tratta di mettere una pezza a una falla di sicurezza zero-day, con una release in anticipo sui tempi che la dice lunga sulla potenziale pericolosità del problema.

La nuova versione 10.3.181.22 di Adobe Flash (10.3.181.23 per ActiveX) "cura" una vulnerabilità di sicurezza sfruttabile per condurre un attacco di tipo cross-site-scripting (XSS) multi-piattaforma su Windows, Mac OS X, Linux e Solaris.

La vulnerabilità potrebbe essere impiegata per "prendere iniziativa al posto dell'utente su qualsiasi provider di siti web o webmail", spiega Adobe, sempre che naturalmente l'utente visiti "un sito malevolo" appositamente predisposto per sfruttare la falla.
Adobe ha classificato l'update come "importante" e non "critico", e nonostante questo ha rilasciato il nuovo player Flash in anticipo sui tempi. La falla sarà anche "importante" e non critica, ma non mancano i rapporti in giro per la rete di chi ha individuato gli attacchi a mezzo Flash "in the wild".

Alfonso Maruccia
Notizie collegate
10 Commenti alla Notizia Flash, patch in anticipo sui tempi
Ordina
  • veramente gli utenti android (tipo me, htc desire) hanno ricevuto ieri la versione 10.3.185.23 quindi oserei dire che siamo anche avanti rispetto questa release
    non+autenticato
  • Flash prosegue la sua innarrestabile corsa verso il futuro del web

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: deactive
    > come da oggetto.
    Già, per una volta ha ragione JobsOcchiolino
    non+autenticato
  • - Scritto da: deactive
    > come da oggetto.


    lo sai almeno perche' i cyber criminali si accaniscono nello scovare falle su Flash Player e poi compilare il relativo exploit da iniettare sui siti web?

    perché' Flash e' installato sul 95% di circa 2 miliardi di computer mondiali

    non fosse cosi' non se lo cacavano nemmeno
    -----------------------------------------------------------
    Modificato dall' autore il 08 giugno 2011 11.27
    -----------------------------------------------------------
    Fiber
    3605
  • infatti, non sarebbe ora di mandarlo in pensione e pensare a qualcosa di piu' sicuro e meno monolitico?
  • - Scritto da: deactive
    > infatti, non sarebbe ora di mandarlo in pensione
    > e pensare a qualcosa di piu' sicuro e meno
    > monolitico?


    non esiste software e relativo codice sicuro.


    se ad esempio 10000 cyber criminali nel mondo si accaniscono su di un software stai certo che tirano fuori da tutti delle vulnerabilità'

    il motivo di quei software che leggi non essere spesso vulnerabili e' spiegatyo solo dal fatto che i Cyber Criminali non ci si accaniscono sopra per mancanza di interesse non essendo diffusi come Flash Player et similia


    se domani ad esempio si diffondesse un altro plug-in al posto di Flash Player stai certo che poi si accanirebbero su di quello e cosi' via ... come hanno fatto su Internet Explorer per anni essendo il browser piu' usato dalla massa mondiale per poi colpirla col massimo tornaconto per loro


    l'accanimento nello scovare falle su dei software e quindi del codice e' solo dato dall'interesse che ne deriva dalla loro diffusione per poi colpire piu' gente possibile ..e basta


    software che non usa quasi nessuno o poco diffusi sentirai sempre che non hanno quasi mai vulnerabilita' .. non perche' non le hanno e sono compilati da extraterrestri ..ma solo perche' i cyber criminali non ci si accaniscono sopra per scovargliele per assenza di interesse
    -----------------------------------------------------------
    Modificato dall' autore il 08 giugno 2011 11.58
    -----------------------------------------------------------
    Fiber
    3605
  • Quoto in pieno tutto quello che hai scritto

    - Scritto da: Fiber
    > - Scritto da: deactive
    > > infatti, non sarebbe ora di mandarlo in pensione
    > > e pensare a qualcosa di piu' sicuro e meno
    > > monolitico?
    >
    >
    > non esiste software e relativo codice sicuro.
    >
    >
    > se ad esempio 10000 cyber criminali nel mondo si
    > accaniscono su di un software stai certo che
    > tirano fuori da tutti delle vulnerabilità'
    >
    >
    > il motivo di quei software che leggi non essere
    > spesso vulnerabili e' spiegatyo solo dal fatto
    > che i Cyber Criminali non ci si accaniscono sopra
    > per mancanza di interesse non essendo diffusi
    > come Flash Player et
    > similia
    >
    >
    > se domani ad esempio si diffendesse un altro
    > plug-in al posto di Flash Player stai certo che
    > poi si accanirebbero su di quello e cosi' via ...
    > come hanno fatto su Internet Explorer per anni
    > essendo il browser piu' usato dalla massa
    > mondiale per poi colpirla col massimo tornaconto
    > per
    > loro
    >
    >
    > l'accanimento nello scovare falle su dei software
    > e quindi del codice e' solo dato dall'interesse
    > che ne poi deriva dalla loro diffusione per poi
    > colpire piu' gente possibile ..e
    > basta
    >
    >
    > software che non usa quasi nessuno o poco
    > diffusi sentirai sempre che non hanno quasi mai
    > vulnerabilita' .. non perche' non le hanno e sono
    > compilati da extraterrestri ..ma solo perche' i
    > cyber criminali non ci si accaniscono sopra per
    > scovargliele per assenza di
    > interesse
    > --------------------------------------------------
    > Modificato dall' autore il 08 giugno 2011 11.42
    > --------------------------------------------------
    non+autenticato
  • Sono perfettamente d'accordo anche io....

    Però come giustamente fatto notare da alcuni, qualcosa di più moderno e leggero(che consuma pure meno batteria) già esiste...

    meglio cambiare ne?

    Sorride
  • - Scritto da: Fiber
    > - Scritto da: deactive
    > > infatti, non sarebbe ora di mandarlo in pensione
    > > e pensare a qualcosa di piu' sicuro e meno
    > > monolitico?

    ...
    >
    > non esiste software e relativo codice sicuro.
    > l'accanimento nello scovare falle su dei software
    > e quindi del codice e' solo dato dall'interesse
    > che ne deriva dalla loro diffusione per poi
    > colpire piu' gente possibile ..e
    > basta
    >
    >
    > software che non usa quasi nessuno o poco
    > diffusi sentirai sempre che non hanno quasi mai
    > vulnerabilita' .. non perche' non le hanno e sono
    > compilati da extraterrestri ..ma solo perche' i
    > cyber criminali non ci si accaniscono sopra per
    > scovargliele per assenza di
    > interesse


    Assolutamente tutto FALSO. Il fatto che ogni software abbia vulnerabilità non significa certamente che tutti i software abbiano lo stesso numero di vulnerabilità con la stessa gravità. Il fatto che IE6 ne avesse così tante è dovuto al fatto che (a) per vincere la competizione con Netscape e per poter affermare che il browser era "parte del sistema operativo" avevano integrato funzioni assolutamente estranee alla navigazione. Vedi ad esempio MS06-014, una delle vulnerabilità di IE con il maggior numero di exploit in assoluto, esistente SOLO perché quella funzione era stata integrata nel codice di IE, quando doveva essere qualcosa di esterno.

    "Microsoft Data Access Components (MDAC) is a component of the Microsoft Windows operating system that enables data transfer to and from a data source and destination. A remote code execution vulnerability is present in some versions of MDAC. An attacker could exploit this issue by crafting a malicious e-mail or web page that when viewed by a user would result in execution of arbitrary code on the target system."

    Dire che "tutti i software sono vulnerabili, dipende solo da quanti ci si accaniscono" è sintomo di un'ignoranza informatica ABISSALE, e di una cultira informatica da autodidatta fatta solo leggiucchiando due o tre pagine sul web qua e là.
    non+autenticato