giovedì 22 settembre 2011

Adobe Flash rilascia aggiornamenti per tappare vulnerabilità critiche


Adobe ha appena rilasciato un aggiornamento (APSB11-26) per il suo software Flash onnipresente, arrivando così alla versione 10.3.183.10 per Windows, Mac, Solaris e Linux, e alla versione 10.3.186.7 per Android. Il rilascio corregge sei vulnerabilità in Flash Player, una delle quali è stata usata in attacchi mirati. Questo bug è una falla cross-site scripting che potrebbe consentire a pagine Web malintenzionate di intraprendere azioni per conto dell'utente connesso. Adobe ha valutato questo aggiornamento come critico. Vulnerabilità Critiche sono state identificate in Adobe Flash Player 10.3.183.7 e versioni precedenti per Windows, Macintosh, Linux e Solaris, e Adobe Flash Player 10.3.186.6 e versioni precedenti per Android. Queste vulnerabilità possono causare un crash e consentire ad eventuali attacker di prendere il controllo del sistema interessato.

Ci sono rapporti che una di queste vulnerabilità (CVE-2011-2444) viene sfruttata in attacchi mirati progettati per ingannare l'utente a cliccare su un link maligno consegnato in un messaggio di posta elettronica. Questa universale cross-site scripting potrebbe essere utilizzata per intraprendere azioni per conto di un utente su qualsiasi sito web o il fornitore di webmail se l'utente visita un sito web malevolo. Adobe consiglia agli utenti di Adobe Flash Player 10.3.183.7 e versioni precedenti per Windows, Macintosh, Linux e Solaris l'aggiornamento ad Adobe Flash Player 10.3.183.10. Gli utenti di Adobe Flash Player per Android 10.3.186.6 e versioni precedenti dovrebbero aggiornare ad Adobe Flash Player per Android 10.3.186.7.

VERSIONI DEL SOFTWARE INTERESSATE
  • Adobe Flash Player 10.3.183.7 e versioni precedenti per Windows, Macintosh, Linux e sistemi operativi Solaris
  • Adobe Flash Player 10.3.186.6 e versioni precedenti per Android
(Nota: Il componente authplay.dll fornito con Adobe Reader e Acrobat X (10.1.1) e versioni precedenti 9.xe 10.x e per sistemi operativi Windows e Macintosh non è colpito dalla CVE-2011-2444)


Per verificare la versione di Adobe Flash Player installata sul proprio sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic destro sul contenuto eseguito in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzate più browser, eseguire la verifica per ogni browser installato sul sistema. Per verificare la versione di Adobe Flash Player per Android, andare su Impostazioni> Applicazioni> Gestione Applicazioni> Adobe Flash Player 10.x. Chrome si aggiorna automaticamente quando una nuova versione di Flash Player è disponibile, per proteggere gli utenti con gli ultimi aggiornamenti di sicurezza.

SOLUZIONE

Adobe consiglia a tutti gli utenti di Adobe Flash Player 10.3.183.7 e versioni precedenti per Windows, Macintosh, Linux e Solaris l'aggiornamento alla versione più recente 10.3.183.10 scaricandolo dall'Adobe Flash Player Download Center . Gli utenti Windows e gli utenti di Adobe Flash Player 10.3.183.7 o versione successiva per Macintosh possibile installare l'aggiornamento attraverso il meccanismo di aggiornamento automatico integrato nel prodotto quando viene richiesto. Gli utenti di Adobe Flash Player per Android 10.3.186.6 e versioni precedenti dovrebbero aggiornamento ad Adobe Flash Player per Android 10.3.186.7 visitando il sito del Marketplace di Android su un telefono Android.

DETTAGLI
  1. Questo aggiornamento risolve un problema di overflow dello stack AVM che può consentire l'esecuzione di codice remoto (CVE-2011-2426).
  2. Questo aggiornamento risolve un problema di overflow dello stack AVM che può portare al denial of service e l'esecuzione di codice (CVE-2011-2427).
  3. Questo aggiornamento risolve un problema di errore logico che causa un crash del browser e può portare all'esecuzione di codice (CVE-2011-2428).
  4. Questo aggiornamento risolve un controllo di sicurezza in Flash Player che viene bypassato e potrebbe consentire l'intercettazione di informazioni. (CVE-2011-2429).
  5. Questo aggiornamento risolve una vulnerabilità in streaming media logic error che potrebbe portare all'esecuzione di codice (CVE-2011-2430).
Gli utenti di Chrome utenti sono stati automaticamente aggiornati il 20 settembre 2011 con la protezione contro questi difetti.

Nessun commento:

Posta un commento