Adobe continua a rilasciare patch su patch per correggere vulnerabilità di Adobe Flash Player e l’ultimo aggiornamento ne risolve ben 34. Si tratta solo dell’ultima di una serie infinita di update per un software che si è rivelato nel corso degli anni un vero colabrodo dal punto di vista della sicurezza. Solo poche settimane addietro era stato rilasciato un altro aggiornamento per correggere 36 vulnerabilità, incluse alcune di tipo zero-day che erano sfruttate dall’Hacking Team, l’azienda di Milano conosciuta per la vendita di “spyware” a diversi governi e forze dell’ordine per azioni di cyberspionaggio.
Venti delle vulnerabilità sistemate a luglio erano state individuate grazie all’iniziativa Project Zero di Google; la stessa ha consentito di risolvere 23 delle ultime vulnerabilità individuate. Google ha collaborato con Adobe per impedire alcuni exploit sfruttando una serie di tecniche che dovrebbero mitigare alcune possibili problematiche dal punto di vista della sicurezza.
Se Adobe può così tirare un sospiro di sollievo, almeno per qualche giorno, per quanto riguarda Flash, continuano a non essere invece risolte la vulnerabilità che riguardano l’applicazione Adobe Reader. Nel corso della DefCon, conferenza dedicata alla sicurezza che si è svolta a Las Vegas, sono state dimostrate falle già identificate nel dizionario delle vulnerabilità CVE (Common Vulnerabilities and Exposures) come relative alle API JavaScript del Reader.
Secondo Brian Gorenc, manager che si occupa delle ricerche per la Zero Day Initiative (ZDI), l’iniziativa in questione ha permesso quest’anno di individuare circa 100 vulnerabilità nel solo Adobe Reader. Adobe aggiorna il Reader su base trimestrale; dopo avere individuato una vulnerabilità, la ZDI prevede una policy concernente la divulgazione che offre ai vendor fino a quattro mesi per risolvere un problema; passato questo tempo, se il vendor non risolve, la vulnerabilità è resa pubblica.
L’ultimo aggiornamento di Flash Player può essere scaricato direttamente dal sito Adobe o, in alternativa selezionando dalle Preferenze di Sistema la voce “Flash Player” e scegliendo “Verifica Ora” dalla sezione “Aggiornamenti.”
