Adobe afferma di prendere sul serio le vulnerabilità di Flash Player e spiega di essere da sempre al lavoro per mettere al sicuro il suo plug-in prima che nuove ondate di vulnerabilità siano rivelate. Ne parla The Register spiegando che dopo i “recenti sviluppi” Adobe sta ancora una volta intensificando gli sforzi per innalzare le difese di Flash. I “recenti sviluppi” si riferiscono probabilmente alle tre vulnerabilità da poco individuate (CVE-2015-5122, CVE-2015-5123 e CVE-2015-5119) delle quali solo una è stata al momento risolta. Un fix per le altre due è ad ogni modo in arrivo. Tutte e tre le vulnerabilità in questione erano sfruttate dall’Hacking Team e permettevano l’installazione di software malevolo su Windows, OS X e Linux. Malintenzionati sembra siano nel frattempo già all’opera per impadronirsi dei sistemi sfruttando le vulnerabilità rese note.
Adobe è nel frattempo sotto il fuoco dell’artiglieria poiché queste falle di sicurezza emergono costantemente e ripetutamente con pericolosa puntualità, non solo in Flash ma anche in altri prodotti Adobe quali Adobe Reader e Acrobat. The Register arriva a definire Flash come un “software infernale” e la porta d’ingresso sfruttando la quale “i liquami di internet sgorgano nelle case dei cyber-cittadini”.
Un po’ tutti i sistemi operativi e varie applicazioni hanno sofferto di problematiche concernenti la sicurezza, offrendo in alcuni casi la possibilità di eseguire codice malevolo in remoto, in ogni caso la quantità di vulnerabilità periodicamente scoperte in Flash supera diversi record negativi. Naturalmente Adobe non sta con le mani in mano in attesa di nuove segnalazioni, si è preoccupata della situazione e si sta muovendo in risposta: “Sono in corso notevoli sforzi interni, oltre al nostro lavoro con le comunità che si occupano di sicurezza e nostre controparti in altre organizzazioni, affinché i nostri prodotti e gli utenti restino al sicuro” dichiara Wiebke Lips, senior manager responsabile delle comunicazioni in Adobe.
“A parte il generico rendere più sicuro il codice, cercare di individuare e risolvere le vulnerabilità internamente, un’area fondamentale sulla quale ci stiamo concentrando è lo sviluppo di tecniche di mitigazione che impediscono a tutta una classe di vulnerabilità di poter essere sfruttate”. “L’introduzione di alcune tecniche di mitigazione era già nella roadmap ma procede ancora più velocemente quale risultato dei recenti sviluppi”. Quali siano queste tecniche di mitigazione non è dato sapere. Fa a ogni modo accenno a queste tecniche sul blog aziendale dedicato alla sicurezza, ma già lo scorso anno lo chief security officer di Adobe, Brad Arkin, aveva spiegato che la vita degli attacker sarebbe stata resa più difficile.
“Ai prodotti Adobe fanno affidamento individui e organizzazioni di tutto il mondo. Con sua relativa ubiquità e le funzionalità cross-platform del Flash Player abbiamo notato una crescente attenzione da parte degli attacker” dice ancora Lips rimandando alle parole riportate sulla pagina Adobe nella quale si parla di sicurezza: “La sicurezza e le vostre digital experiences sono una nostra priorità. Dai nostri rigorosi processi di sviluppo software interni e strumenti fino alle nostre squadre di intervento trasversale, ci sforziamo di essere proattivi, agili, curando tutti gli aspetti della sicurezza, collaborando con partner, ricercatori e associazioni del settore affinché le ultime procedure in termini di best practices sulla sicurezza siano integrate in ogni prodotto e servizio offerto”.
