Si torna a parlare di vulnerabilità nei prodotti Adobe. Gli esperti di sicurezza della compagnia hanno appena segnalato un nuovo bug “zero day” che potrebbe essere sfruttato dai malintenzionati per causare un crash o prendere il controllo del computer su cui risiedono Acrobat Reader e Flash Player.
L’insidioso exploit Flash che ha cominciato a circolare in questi giorni sfrutta l’ ennesima vulnerabilità (CVE-2011-0609) emersa nel lettore Flash (10.x) delle versioni Windows, Mac OS X, Linux, Solaris e Android. Anche la protezione aggiuntiva studiata dal browser Chrome non riesce ad opporsi al malware.
Di solito il computer viene attaccato utilizzando un file con estensione SWF, incorporato in un file Excel che arriva via posta. Teoricamente, lo stesso sistema potrebbe essere utilizzato con un file PDF perché la vulnerabilità è presente anche nelle DLL di Adobe Reader e Acrobat X, che eseguono il rendering dei contenuti Flash inseriti nei Portable Data File . Al momento però, non si segnalano attacchi diretti ai lettori di documenti.
Tramite il blog ufficiale, Adobe specifica anche che una patch di emergenza per player Flash e Acrobat Reader verrà pubblicata la prossima settimana, anticipando gli aggiornamenti di sicurezza già in calendario. Il fix per Acrobat X, che già lavora in modalità protetta , arriverà invece con l’update canonico fissato per il 14 giugno.
Roberto Pulito