Mese nuovo, nuova falla di sicurezza zero-day scovata all’interno di Adobe Flash. Per la precisione le falle sono due e sono state entrambe individuate da InteVyDis , società russa specializzata in software di penetration testing commerciale. La politica di InteVyDis non prevede che la società interessata (in questo caso Adobe) venga avvertita dell’esistenza di una falla prima della sua commercializzazione.
InteVyDis ha confezionato un modulo di exploit (“vd_adobe_fp”) da usare come addon per il software di automazione e testing realizzato da Immunity (“Canvas”). Sfruttando le due nuove falle è possibile attaccare un sistema operativo pienamente aggiornato (Windows 7 Ultimate o Windows XP poco importa) usando i browser più popolari come IE, Firefox o Chrome.
Le falle sono di quelle “cattive”, visto che sono potenzialmente in grado di bypassare tutte le protezioni integrate nei browser e OS moderni (sandbox, DEP, ASLR) portando alla copia in locale e all’esecuzione di codice da web: pacchetti magari contenenti ulteriori exploit o malware con cui ottenere privilegi di accesso superiori.
Adobe dice di aver contattato InteVyDis per conoscere i dettagli sul loro modulo di exploit, così da “verificare e mettere una pezza alle vulnerabilità”. Laddove la pezza sembra vieppiù urgente è nel caso del “buco” zero-day di Reader scoperto di recente , un problema che secondo Symantec è stato ampiamente sfruttato da ignoti cyber-criminali per attaccare industrie e agenzie governative negli USA e nel Regno Unito.
Alfonso Maruccia