Adobe lancia l’allarme su alcune nuove vulnerabilità che colpiscono Flash, Adobe Reader e Acrobat, avvisando che al momento non vi sono soluzioni disponibili. Le vulnerabilità sono state individuate nell’Adobe Flash Player 10.2.152.33 e versioni precedenti (Adobe Flash Player 10.2.154.18 e precedenti per gli utenti Chrome) per Windows, Macintosh, Linux e Solaris, nell’Adobe Flash Player 10.1.106.16 e versioni precedenti per Android, nel componente Authplay.dll fornito con Adobe Reader e Acrobat X (10.0.1) e precedenti versioni 10.x e 9.x del Reader e di Acrobat per Windows e Mac OS X. La vulnerabilità (CVE-2011-0609) potrebbe causare crash e potenzialmente consentire a un attacker di prendere controllo dei sistemi colpiti dal problema. Pare che la vulnerabilità è stata già sfruttata in file Flash (.swf) incorporati in allegati Excel (file .xls) inviati via posta elettronica. Non è chiaro se l’attacco è mirato agli utenti di Adobe Reader e Acrobat. Il funzionamento in modalità protetta del nuovo Acrobat X dovrebbe mitigare le cause del problema (il formato PDF è da qualche anno sotto costante attacco degli hacker ed è uno dei veicoli preferiti per l’invio di finti documenti con i quali attaccare il computer-target; per impostazione predefinita, in Adobe Reader X i file vengono ora aperti all’interno di un’istanza isolata, o “sandbox”, dell’applicazione, in grado di ridurre il rischio di attacchi da parte di aggressori che tentano di installare malware sul computer dell’utente o di modificare il file system del computer).
Adobe afferma di essere al lavoro e dovrebbe entro il 21 marzo rilasciare aggiornamenti di sicurezza per il Flash Player 10.x e precedenti nelle varianti per Windows, Mac OS X, Linux, Solaris e Android, update di sicurezza per Adobe Acrobat X (10.0.1) e precedenti versioni 10.x e 9.x per Windows e Macintosh, aggiornamenti per Adobe Reader X (10.0.1) per Macintosh e Reader 9.4.2 e precedenti versioni 9.x.
[A cura di Mauro Notarianni]