Roma – Macromedia ha corretto una seria vulnerabilità di sicurezza nel suo famoso Shockwave Player che poteva essere sfruttata da un aggressore per compromettere un computer remoto.
FrSIRT, che in questo advisory ha classificato come “massima pericolosità” il problema, afferma che la falla è causata da uno stack overflow nell’installer ActiveX: il programma, infatti, non gestisce correttamente certi parametri troppo lunghi.
Un malintenzionato avrebbe potuto spingere un utente a visitare una pagina web contenente oggetti che richiedevano l’installazione di Shockwave Player: al momento dell’installazione, il cracker avrebbe potuto eseguire del codice con gli stessi privilegi dell’utente.
La vulnerabilità, già corretta da Macromedia con il rilascio di una nuova versione dell’ActiveX, interessa tutte le versioni di Shockwave Player inferiori alla 10.1.0.12. Va detto che siccome l’installer ActiveX risiede solo sui server, l’utente non deve scaricare alcun aggiornamento.