Gli esperti di sicurezza Adobe sono riusciti a sistemare l’insidioso bug zero day venuto fuori la settimana scorsa. La vulnerabilità CVE-2011-0609 riguardava il lettore Flash (10.x), a prescindere dal sistema operativo utilizzato, e tirava in ballo anche le DLL dei Reader Adobe, utilizzate per eseguire il rendering dei contenuti Flash inseriti nei PDF.
Una versione aggiornata del Flash Player (10.2.153.1) è ora disponibile per il download in versione Windows, Mac OS X, Linux e Solaris. Anche gli utenti Android possono scaricare il loro aggiornamento (10.2.156.12) dal marketplace. La patch di correzione ha raggiunto anche Adobe Reader (9.4.3) e Acrobat X (10.0.2) su Windows e Mac. Con l’occasione, il runtime Adobe AIR è stata aggiornato alla versione 2.6.
Senza applicare queste correzioni, fuori programma, si lascia aperta una porta che i malintenzionati potrebbero anche utilizzare per causare un crash improvviso del sistema o prendere il controllo del computer su cui risiedono i programmi Adobe. Solitamente questo tipo di attacco viene effettuato utilizzando un file con estensione SWF, incorporato in un documento Excel o PDF spedito via email.
Come noto, neppure la protezione sandbox aggiuntiva (Windows) studiata dal browser Chrome poteva opporsi in caso di malware. Per questo motivo, Google ha anticipato le mosse di Adobe rilasciando un aggiornamento mirato di Chrome (10.0.648.134) già dal 17 marzo. In questo ultimo update il plugin Flash integrato nel browser di Mountain View non presenta più il problema.
Roberto Pulito