Aliseo Viejo (USA) – Lo scorso mercoledì la società di sicurezza Eeye Digital Security ha descritto una vulnerabilità di sicurezza contenuta nel Flash Player 6 che potrebbe consentire ad un cracker di eseguire codice arbitrario sul sistema dell’utente. La falla consisterebbe in un classico e letale buffer overflow che affligge il componente ActiveX “flash.ocx” installato dalla versione per Internet Explorer del Flash Player 6.
Secondo quanto riportato da Eeye, un aggressore potrebbe confezionare una pagina HTML ad hoc per mandare in overflow il buffer incriminato e ottenere così accesso al sistema o, in alternativa, redirigere l’utente verso una qualsiasi altra pagina Web.
Di recente pare che alcune pagine di Yahoo e di un altro sito americano, “stimolando” inavvertitamente il bug del player, mandassero in crash il browser.
Macromedia ha invitato gli utenti a scaricare quanto prima una nuova versione del Flash Player 6, disponibile qui , che corregge il problema.
Sebbene Macromedia sia stata rapidissima nel rilasciare un aggiornamento al suo player, gli esperti sono ora preoccupati dal grande numero di utenti del Flash Player 6 per IE, utenti spesso persino ignari del fatto di avere l’ActiveX di Macromedia installato sui propri PC.
Secondo Eeye, questo è il primo baco di questo tipo trovato in Flash. In passato il player di Macromedia aveva dovuto fare i conti con altri mali, fra cui il recente problema che lo rendeva vulnerabile ad attacchi DoS, un concept virus e una vulnerabilità legata al suo motore di scripting .