Negli scorsi giorni il noto consorzio francese FrSIRT ha segnalato la presenza di gravi falle di sicurezza all’interno di alcuni noti software, tra cui Flash, Excel, eBay Enhanced Picture Services e WebEx.
La vulnerabilità di Flash riguarda tutte le versioni 8.x del celebre player di Adobe ed è causata da un errore nella gestione dei file SWF. Inducendo un utente a visitare una pagina web maligna, un malintenzionato potrebbe sfruttare la debolezza per eseguire del codice da remoto ed eventualmente prendere il pieno controllo del sistema vulnerabile.
Adobe ha risolto il problema con il rilascio della recente versione 9 del proprio Flash Player.
Il problema di Excel è la terza seria falla di sicurezza scoperta nelle ultime settimane. La debolezza potrebbe consentire ad un esperto di prendere il pieno controllo di un sistema remoto, ma a correre il rischio sono solo gli utenti delle versioni asiatiche (in lingua giapponese, coreana e cinese) di Excel 2000, 2002 e 2003.
Per il problema non esiste attualmente alcuna patch.
Una terza vulnerabilità colpisce un controllo ActiveX alla base dell’eBay Enhanced Picture Manager, un servizio di eBay a pagamento che consente ai venditori di gestire le foto dei propri prodotti. Anche in questo caso, inducendo un utente a visitare un sito web maligno, un cracker potrebbe essere in grado di far leva sulla vulnerabilità per prendere il completo controllo di un sistema remoto.
La soluzione è aggiornare il controllo ActiveX Enhanced Picture Services alla versione 1.0.3.48, scaricabile da qui .
L’ultimo problema di sicurezza riguarda sempre un controllo ActiveX, ma questa volta appartenente alla nota piattaforma online per la collaborazione WebEx . Il bug può essere utilizzato da un aggressore per inviare al programma alcuni parametri malformati e innescare un buffer overflow: in questo modo è possibile eseguire comandi da remoto ed eventualmente assumere il controllo del sistema vittima.
Per risolvere il problema è necessario scaricare da qui l’ultima versione di WebEx, la 2.1.0.0.