Adobe sta mettendo a punto un aggiornamento per Flash Player capace di risolvere una vulnerabilità che, negli ultimi tre mesi, ha permesso ai cracker di violare migliaia di siti web.
Il problema è stato divulgato per la prima volta lo scorso dicembre da un ricercatore del Google Security Team, Rich Cannings, e consente ad un aggressore di creare un file Shockwave Flash (.swf) in grado, quando aperto, di lanciare uno script maligno. La falla, di tipo cross-site scripting, riguarda il codice generato dal comando di inserimento Flash Video in Dreamweaver e Contribute, e potrebbe essere utilizzata per creare attacchi di phishing e rubare dati agli utenti.
Lo scorso gennaio la debolezza è già stata corretta nelle applicazioni utilizzate per creare i file Flash, tra cui Dreamweaver e Contribute, che ora generano contenuti Flash non più vulnerabili. Adobe ha però ammesso che là fuori c’è ancora un numero potenzialmente elevato di file vulnerabili, e che dunque è necessario risolvere il problema anche lato client, aggiornando il plug-in Flash Player.
Maggiori dettagli sulla vulnerabilità sono contenuti in questo advisory .
Adobe non ha ancora finito di stuccare l’ultima falla di Flash che gli hacker ne hanno già scoperta una nuova. Il bug è stato sfruttato per la prima volta nel corso del contest Pwn to Own tenutosi presso la conferenza CanSecWest di Vancouver, in Canada. Qui tre giovani ricercatori di sicurezza si sono avvalsi del bug da loro scoperto in Flash Player per prendere il controllo di un laptop su cui girava Windows Vista.
I dettagli della falla non sono ancora stati resi pubblici: i suoi scopritori hanno fatto sapere di aver già segnalato il problema ad Adobe, e di voler attendere il rilascio di una patch ufficiale prima di divulgare altre informazioni.