Roberto Pulito

Adobe Flash: patch urgente

Una vulnerabilitÓ zero-day mette in allerta il player Flash. L'aggiornamento Ŕ caldamente consigliato a prescindere dal browser e dal sistema operativo

Roma - In attesa che arrivi l'aggiornamento a Flash 11, Adobe è costretta a correre ai ripari con una patch urgente. C'è una nuova falla zero-day da tappare, molto simile a quella di giugno.

Sfruttando il problema di stack overflow individuato nella vulnerabilità CVE-2011-2444, un malintenzionato potrebbe infatti eseguire un exploit da remoto, mandare in crash il sistema o arrivare a prendere il controllo della macchina.

Il comunicato Adobe segnala che la vulnerabilità è già stata sfruttata in una serie di attacchi mirati, rivolti ad aziende e agenzie governative. Solitamente ci infetta cliccando sopra un link malevolo, infilato in un semplice messaggio di posta elettronica.
L'update, pensato per curare anche altri quattro problemi di sicurezza minori, viene quindi caldamente consigliato agli utenti PC, Mac, Linux, Solaris e Android. I computer devono aggiornare alla versione 10.3.183.10 mentre i dispositivi mobile devono passare a Flash 10.3.186.7.

Ancora una volta sono stati i tecnici Google ad avvisare quelli Adobe. A quanto pare, il colosso di Mountain View ha già corretto il bug zero-day nel browser Chrome con l'aggiornamento del 20 settembre.

Roberto Pulito
Notizie collegate
35 Commenti alla Notizia Adobe Flash: patch urgente
Ordina
  • E chi siamo noi, i parenti poveri?
    ruppolo
    33147
  • - Scritto da: ruppolo
    > E chi siamo noi, i parenti poveri?

    Per il bidone Apple la patch arriva ad ottobre, così finalmente le mogli smetteranno di vedere i remainder del marito anche con l'iSchifo bloccato.
    non+autenticato
  • Non hai capito? Voleva fare la battuta, dagli um po di soddisfazione.
    Luppolo già che ci sei spegni skype che c'è un xss solo per ios
  • - Scritto da: ruppolo
    > E chi siamo noi, i parenti poveri?

    Se non avete le gambe non vi serve rattoppare le suole delle scarpe.
    Shiba
    3876
  • No.
    Per voi niente.

    Avete ancora i bug di LDAP e i bug sulle password da sistemare su OS X.

    Occupatevi di quelli.
    Darwin
    5126
  • >>Il comunicato Adobe segnala che la vulnerabilità è già stata sfruttata in una serie di attacchi mirati, rivolti ad aziende e agenzie governative . Solitamente ci infetta cliccando sopra un link malevolo, infilato in un semplice messaggio di posta elettronica <<

    Aziende ed agenzie governative che avrebbero Sys Admin che danno in mano computer desktop a dipendenti et similia settati con account aventi diritti Administrator e non Limitati + senza antivirus?

    perche' l'exploit dedicato di remote code execution ( e NON di EoP = elevation of privilege) una volta sfruttata la vulnerabilità su Flash Player fallato porti a buon fine l'esecuzione dello shell code di drive by download & autoinstall di malware sul sistema si devono bypassare i mitigating factor anti exploit Buffer & Heap overflow = DEP + ASLR sul browser ( essendo Flash Player figlio del processo che lo invoca e lo usa = il browser web ) l'account del computer deve essere di tipo Administrator ( altrimenti non si installa nulla con account Limitato) o deve essere cliccato su OK alla richiesta UAC per accedere al registro per installare il malware in kernel mode se si usa WIndows 7 senza account Limitato/Standard + il malware in autoinstall che deriva di conseguenza dall'esecuzione dell'exploit, sempre che lo stesso exploit bypassi Dep + ASLR + UAC   deve anche bypassare l'euristica della protezione in tempo reale di sistema dell'Antivirus


    sarebbe accaduto tutto cio' in queste aziende ed agenzie governative ?

    grazie per le info
    Fiber
    3605
  • - Scritto da: Fiber
    > >>Il comunicato Adobe segnala
    > che la vulnerabilità è già stata sfruttata in una
    > serie di attacchi mirati, rivolti ad
    > aziende e agenzie governative
    .
    > Solitamente ci infetta cliccando sopra un link
    > malevolo, infilato in un semplice messaggio di
    > posta elettronica <<

    >
    >
    > Aziende ed agenzie governative che avrebbero Sys
    > Admin che danno in mano computer desktop a
    > dipendenti et similia settati con account aventi
    > diritti Administrator e non Limitati + senza
    > antivirus?
    >
    > perche' l'exploit dedicato di remote code
    > execution ( e NON di EoP = elevation of
    > privilege) una volta sfruttata la vulnerabilità
    > su Flash Player fallato porti a buon fine
    > l'esecuzione dello shell code di drive by
    > download & autoinstall di
    > malware sul sistema si devono bypassare i
    hun?
    per eseguire un cmd+tftp, un clone di netcat o un istanza di IE mi servono privilegi amministrativi e superare tutta quella yaddayadda di cose? non mi pare.
    non+autenticato
  • Non dispongo di queste info tecniche ma in generale Adobe tira in ballo la congiura. Dice che gli aggressori "politicamente motivati", finanziati dallo stato, scovano e sfruttano ogni vulnerabilità senza patch per colpire i computer dei pezzi grossi, più che il nostro.

    https://threatpost.com/en_us/blogs/nation-state-at...
  • - Scritto da: Fiber
    > = il browser web ) l'account del computer deve
    > essere di tipo Administrator ( altrimenti non si
    > installa nulla con account Limitato)

    Scusa, tu da quello che scrivi ne sai SICURAMENTE più di me, ma ci sono programmi che si installano anche senza essere Administrator (vedi Google Chrome, per esempio, che su XP si installa nella Documents and settings) ed altri che invece funzionano senza installazione alcuna. Un malware non potrebbe utilizzare questi due metodi?
    Grazie x la risposta e ciao
    non+autenticato
  • - Scritto da: Fai il login o Registrati
    > - Scritto da: Fiber
    > > = il browser web ) l'account del computer
    > deve
    > > essere di tipo Administrator ( altrimenti
    > non
    > si
    > > installa nulla con account Limitato)
    >
    > Scusa, tu da quello che scrivi ne sai SICURAMENTE
    > più di me

    ROTFL. Mi sa che non conosci Fiber: conoscenze tecniche sotto zero proprio... Triste
    non+autenticato
  • - Scritto da: Fai il login o Registrati
    > Scusa, tu da quello che scrivi ne sai SICURAMENTE
    > più di me, ma ci sono programmi che si installano
    > anche senza essere Administrator (vedi Google
    > Chrome, per esempio, che su XP si installa nella
    > Documents and settings) ed altri che invece
    > funzionano senza installazione alcuna. Un malware
    > non potrebbe utilizzare questi due
    > metodi?

    nella cartella    C:\Document & Setting /Nome Account/Dati Applicazioni    solo l'installer di Chrome ovvero ChromeSetup.exe installa usando un'eccezione alla regola

    tutti gli altri software una volta installati vengono piazzati nella loro cartella dentro a    C:\Programmi    

    In C:\Document & Setting /Nome Account/Dati Applicazioni di solito vengono piazzati solo i dati dei software come la cache i cookies ed i settaggi per quanto riguarda gli altri browser web ..altri software ci piazzano loro file di setting ,database etc etc

    gli altri programmi che non necessitano di installazione tramite apposito setup.exe perche' li si scaricano in archivi compressi .zip o 7zip basta che siano decompressi in una cartella piazzata sull'hard disk a tuo piacimento e giustamente funzionano aprendosi in memoria per essere utilizzati facendo doppio click sul loro file .exe

    un software malevolo (malware) coem uno spyware un keylogger o un Trojan invece non deve solo funzionare ma deve anche autoavviarsi in ram ogni volta assieme al sistema operativo con l'accensione del computer ( come se facessi tu doppio clik sull'exe di un software per aprirlo in ram ed usarlo) + deve anche insidiare tutte le sue componenti ( i files) nel sistema per rendersi ostica la sua rimozione .....quindi per poter fare queste cose l'installer del malware che parte su exploit di remote code execution da una vulnerabilità non fixata ( not patched) come quella su Flash Player necessita di scrivere chiamate Autorun dentro al registro di sistema cosi' come altre chiavi di registro che lo invochino in automatico se è un software malevolo kernel mode e dove in questo modo andrebbe anche ad "offuscarsi" per render difficile la sua rimozione ( scritto in 4 blande parole per evitare termini troppo complessi) cosi' come deve scrivere tutti i suoi files di programma malevolo ( dll .exe etc) & driver ( .sys) e/o servizi malevoli nella root/cartella Windows o su C:


    In un account con diritti Limitati queste cose sono inibite quindi anche se un exploit di remote code execution su vulnerabilità di flash player o del browser web ad esempio andasse a buon fine eludento DEP + ASLR e portasse ad eseguire una silent installation da remoto, il malware non puo' installarsi sul sistema come nella modalità appena descritta.. considerando poi che anche usando un account Administrator e non uno Limitato le eventuali componenti software malevole ( dll .exe, services etc) che l'installer da remoto del software malevolo starebbe per piazzare sul sistema verrebbero bloccate in real time dalla protezione in tempo reale dell'antivirus sui read dal disco rigido & write al disco rigido   grazie alla detection euristica ed alle signature/firme (la classica finestrella di avviso dell'antivirus che compare a video quando rileva e chiede di eliminare o mettere in quarantena)

    in quest' ultimo caso poi si distinguono Antivirus migliori e peggiori nelle detections su euristica & signature.
    Ad esempio da comparative indipendenti tedesche ( av-comparatives.org) Antivir di Avira come Avast sono i migliori ..anche nella versione free e tutti con database signature autoaggiornante quotidianamente, senza nessuna interazione da parte dell'utente ( come tutti gli antivirus del resto)
    -----------------------------------------------------------
    Modificato dall' autore il 24 settembre 2011 17.12
    -----------------------------------------------------------
    Fiber
    3605
  • Ma che lingua devo impostare su Google Translator per tradurre in Italiano corrente 'sto papiro?
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Ma che lingua devo impostare su Google Translator
    > per tradurre in Italiano corrente 'sto
    > papiro?

    prova italiano -> macaco
    non+autenticato
  • > un software malevolo (malware) coem uno spyware
    > un keylogger o un Trojan invece non deve solo
    > funzionare ma deve anche autoavviarsi in ram
    > ogni volta assieme al sistema operativo con
    > l'accensione del computer
    E questo chi lo dice? la Noob M$ Guide? non ti e' sufficiente che un programma, avviato una sola volta, mandi il keychain di IE (o la tua pw di paypal, o quel che vuoi) al ladrone di turno?

    > necessita di scrivere
    > chiamate Autorun dentro al registro di sistema
    > cosi' come altre chiavi di registro che lo
    > invochino in automatico
    sara' l'ora ... ma.. non ricordo.. uno user (uno del gruppo user) non puo inserire una key per l'autorun (la roba HKLM\CurrentVersion\Run x capirci, ed equivalente)? Mi sembra che su XP si possa... su Seven,no ?
    non+autenticato
  • - Scritto da: Fiber
    > - Scritto da: Fai il login o Registrati
    > nella cartella    C:\Document & Setting
    > /Nome Account/Dati Applicazioni

    > lanciando l'installer ChromeSetup.exe non si
    > installa Google Chrome
    > .
    >
    > Chrome come tutti gli altri software una volta
    > installati vengono piazzati nella loro cartella
    > dentro a    C:\Programmi


    Ma perché parli senza sapere?
    Innanzitutto C:\Programmi non esiste più da windows xp...
    La cartella è "C:\Program Files", c:\programmi è solo un alias, come c:\utenti o le cartelle musica, documenti ecc... che è da vista che sono in inglese

    E comunque si installa in c:\programmi solo se l'account è amministratore, altrimenti aveva ragione l'utente che hai quotato, si installa veramente in c:\users\..., visto che è una cartella dove ha l'accesso completo, poi mette i collegamenti al desktop e al menù avvio
    come qualsiasi altro programma...
    l'utente neanche si accorge che è installato solo per il loro utente e non in c:\program files

    funzionano così tutte le applicazioni di google (la prima fu earth) così permette a tutti i dipendenti che non hanno privilegi di amministrazione di installarlo e usarlo, io stesso lo installo sempre quando loggo in un pc dell'università, visto che devo usare applicazioni flash complesse (aka cityville) e il flash di quei pc non viene aggiornato da mesi, almeno quello integrato in chrome funziona perfettamente...
    non+autenticato
  • - Scritto da: pallino pinco
    > Ma perché parli senza sapere?
    > Innanzitutto C:\Programmi non esiste più da
    > windows xp...


    qua quello che non sa niente sei solo che tu e basta

    ecco Windows XP

    Clicca per vedere le dimensioni originali   




    > La cartella è "C:\Program Files", c:\programmi è
    > solo un alias, come c:\utenti o le cartelle
    > musica, documenti ecc... che è da vista che sono
    > in
    > inglese

    e chi se ne frega se fosse alias o non alias ? quello che si doveva far capire a quell'utente che chiedeva info si e' capito

    cosa stai qua a menare la rava e la fava per delle quisquilie che nel contesto di quel discorso non servono a niente ?

    vuoi il mongolino d'oro?



    > E comunque si installa in c:\programmi solo se
    > l'account è amministratore, altrimenti aveva
    > ragione l'utente che hai quotato, si installa
    > veramente in c:\users\..., visto che è una
    > cartella dove ha l'accesso completo, poi mette i
    > collegamenti al desktop e al menù avvio

    se su XP si non si è loggati al sistema con account con diritti Amministratore non si installa niente amenoche' da account Limitato si clicca col tasto destro del mouse sul setup.exe ,si seleziona da menu' a tendina su a Esegui come > si seleziona l'account con diritti Admin + si inserisce la password

    il software si installerà sempre nella cartella C:\Programmi E BASTA


    > come qualsiasi altro programma...
    > l'utente neanche si accorge che è installato solo
    > per il loro utente e non in c:\program
    > files
    >
    > funzionano così tutte le applicazioni di google
    > (la prima fu earth) così permette a tutti i
    > dipendenti che non hanno privilegi di
    > amministrazione di installarlo e usarlo, io
    > stesso lo installo sempre quando loggo in un pc
    > dell'università, visto che devo usare
    > applicazioni flash complesse (aka cityville) e il
    > flash di quei pc non viene aggiornato da mesi,
    > almeno quello integrato in chrome funziona
    > perfettamente...


    questo dipende solo dal tipo di installer dei programmi

    quelli che fanno come hai detto si contano sulle dita di una mano perchè la prassi NON è cosi'
    Fiber
    3605
  • - Scritto da: la policy
    > Flash.
    >
    > [img]http://consumerist.com/2010/02/06/disgusted_c

    E' pachidermico. Meglio HTML5.
    non+autenticato
  • - Scritto da: Anonymous
    > - Scritto da: la policy
    > > Flash.
    > >
    > >
    > [img]http://consumerist.com/2010/02/06/disgusted_c
    >
    > E' pachidermico. Meglio HTML5.

    È Flash. È letame.
    non+autenticato