Gaia Bottà

Flash, tre vulnerabilità critiche in tre settimane

Il plugin si mostra di nuovo prono ai cybercriminali del malvertising. Adobe sta lavorando all'ennesima patch

Roma - Un nuovo bollettino di sicurezza emesso da Adobe, una nuova falla di gravità "critica" individuata in Flash: si tratta del terzo problema grave individuato nel giro di un mese.

Classificata come CVE-2015-0313 e ritenuta "critica", la vulnerabilità coinvolge le piattaforme Windows e Mac OS X ed è attivamente sfruttata ai danni di utenti di Internet Explorer e Firefox su sistemi Windows 8.1 e precedenti: il problema colpisce la versione 16.0.0.296 e precedenti release, nonché la versione 13.0.0.264 (versione con supporto esteso) e precedenti. I ricercatori di Trend Micro hanno rilevato che la falla sta già colpendo, ad esempio, gli utenti di Dailymotion, che attraverso la piattaforma di advertising a cui il sito si affida vengono redirezionati verso URL che veicolano l'attacco.

La nuova vulnerabilità ha molto in comune con le due precedenti falle individuate in Flash nelle scorse settimane e ora sistemate, su cui faceva leva lo strumento impiegato dai malintenzionati, Angler Exploit Kit: secondo i ricercatori di Trend Micro, che hanno rilevato "analogie nelle tecniche di offuscamento e nelle dinamiche delle infezioni" la nuova falla sarebbe stata integrata nello stesso strumento. Secondo altri ricercatori, invece, la falla sarebbe sfruttata da cybercriminali che impiegano un altro tool, Hanjuan Exploit Kit.


Adobe ha comunicato di essere al lavoro su una patch che risolva il problema, e prevede di rilasciarla entro la settimana in corso.

Gaia Bottà
Notizie collegate
  • TecnologiaYouTube, da Flash ai video HTML5Google annuncia il passaggio da Flash Player ad HTML5 per lo streaming video sul Tubo, un evento a suo modo storico, che dimostra la maturità raggiunta dalle tecnologie Web per il multimedia
  • SicurezzaGoogle e la guerra delle vulnerabilitàMountain View continua a pubblicare dettagli sulle vulnerabilità di sicurezza nel software altrui, in un programma di disclosure che non salva nessuno: ora è la volta di Apple. Quando la falla è di Google, i tempi di aggiornamento sono relativamente brevi
  • SicurezzaMicrosoft, Patch Tuesday per WindowsIl ciclo di update mensili di Microsoft riguarda quasi esclusivamente la piattaforma Windows, con un paio di bollettini dedicati alle falle scoperte e rese pubbliche da Google. Anche Adobe aggiorna Flash