In Flash 9.x/10.0.x per Windows, Mac OS X e Unix e nelle versioni per Windows di Adobe Reader 9.x, Adobe Acrobat 9.x si cela una pericolosa vulnerabilità di sicurezza zero-day . A suonare il campanello di allarme è stata la stessa Adobe, che in questo recente advisory afferma che la falla “può causare un crash e potenzialmente consentire a un aggressore di prendere il controllo di un sistema vulnerabile”.
A rendere il problema ancor più urgente c’è il fatto che, secondo Adobe, il bug viene già correntemente sfruttato . In Windows il principale vettore di attacco è costituito dai file PDF: di conseguenza, gli esperti di sicurezza raccomandano agli utenti di aprire solo i documenti PDF provenienti da fonti conosciute e attendibili.
Sebbene l’origine della vulnerabilità sia in Flash , Adobe Reader e Acrobat 9.x per Windows sono interessati dal problema per via del componente authplay.dll , utilizzato per riprodurre i contenuti Flash inglobati all’interno di un file PDF. Uno dei workaround suggeriti da Adobe è proprio quello di cancellare, rinominare o spostare temporaneamente la succitata libreria dinamica, generalmente localizzata all’interno della cartella di installazione di Adobe Reader e Acrobat: è bene però sapere che, facendo questo, ogniqualvolta si aprirà un file PDF contenente oggetti Flash l’applicazione (Acrobat o Reader) andrà in crash.
Adobe ha appurato che la recente release candidate di Flash 10.1 e le versioni 8.x di Reader/Acrobat sono immuni al problema . Dal momento che la RC1 è una versione quasi finale di Flash 10.1, chi non desidera attendere la patch di Adobe – di cui peraltro non è ancora nota la data di rilascio – può eventualmente azzardare un aggiornamento anticipato di Flash Player.
Il nuovo allarme sicurezza relativo a Flash e Adobe Reader/Acrobat arriva a pochissima distanza da alcune considerazioni di Brad Arkin, dirigente di Adobe, relative al ciclo di patching di questi prodotti.
Arkink ha detto che la sua azienda sta considerano l’adozione di un ciclo di rilascio programmato delle patch su base mensile anziché trimestrale: in questo modo Adobe, che aveva già scelto il secondo martedì del mese come giorno di pubblicazione degli aggiornamenti di sicurezza, aderirebbe completamente ai tempi e ai ritmi di Microsoft (che come noto pubblica i suoi bollettini il secondo martedì di ogni mese). Da notare come la società californiana avesse preannunciato una mossa simile nel 2005, senza però mai metterla in pratica.
Alessandro Del Rosso