giovedì 8 novembre 2012

Adobe rende disponibili in anticipo aggiornamenti critici per Flash Player


Adobe ha rilasciato sette aggiornamenti di sicurezza, alcuni dei quali contrassegnati come critici, per Adobe Flash Player 11.4.402.287 e versioni precedenti per Windows e Macintosh, Adobe Flash Player 11.2.202.243 e versioni precedenti per Linux, Adobe Flash Player 11.1.115.20 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.19 e versioni precedenti per Android 3.xe 2.x. 

Tipicamente Adobe aggiorna il suo onnipresente plugin Flash Player trimestralmente, in linea con gli aggiornamenti mensili del Microsoft Patch di Martedì, ma stavolta ha deciso di anticipare il rilascio. Questi aggiornamenti sono volti a tappare delle vulnerabilità che potrebbero causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. 

Adobe consiglia agli utenti di aggiornare al più presto le installazioni dei prodotti alle ultime versioni per ragioni di sicurezza. Gli utenti di Adobe Flash Player 11.4.402.287 e versioni precedenti per Windows e Macintosh dovrebbero aggiornare ad Adobe Flash Player 11.5.502.110. Gli utenti di Adobe Flash Player 11.2.202.243 e versioni precedenti per Linux dovrebbero aggiornare ad Adobe Flash Player 11.2.202.251. 



Flash Player con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che include Adobe Flash Player 11.5.31.2 per Windows, Macintosh e Linux. Il Flash Player installato con Internet Explorer 10 verrà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che comprende Adobe Flash Player 11.3.376.12 per Windows.

Gli utenti di Adobe Flash Player 11.1.115.20 e versioni precedenti sui dispositivi Android 4.x dovrebbero aggiornare ad Adobe Flash Player 11.1.115.27. Il 6 novembre 2012, Microsoft ha rilasciato un aggiornamento (KB2770041) per tutte le edizioni supportate di Windows 8, Windows Server 2012, e Windows RT. L'aggiornamento risolve le vulnerabilità descritte nel bollettino sicurezza di Adobe APSB12-24.

L'update risolve le vulnerabilità in Adobe Flash Player, aggiornando le librerie di Flash interessate contenute in Internet Explorer 10. Gli utenti di Adobe Flash Player 11.1.111.19 e versioni precedenti per Android 3.x dovrebbero aggiornare Flash Player alla versione 11.1.111.24. Gli utenti di Adobe AIR 3.4.0.2710 e versioni precedenti per Windows e Macintosh, SDK (compresi AIR per iOS) e Android dovrebbero aggiornare ad Adobe AIR 3.5.0.600.

Questi aggiornamenti risolvono vulnerabilità buffer overflow che potrebbero provocare l'esecuzione di codice (CVE-2012-5274, CVE-2012-5275, CVE-2012-5276, CVE-2012-5277, CVE-2012-5280). Viene risolta una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2012-5279). Inoltre viene risolta una vulnerabilità di bypass di sicurezza che potrebbe provocare l'esecuzione di codice (CVE-2012-5278).


Per verificare la versione di Adobe Flash Player installata sul proprio sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser di navigazione, eseguire la verifica per ogni browser installato sul proprio sistema. 

Per verificare la versione di Adobe Flash Player per Android, andare in Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx. Il modo più semplice, indipendentemente dalla piattaforma è quello di visitare http://get.adobe.com/flashplayer. Per verificare la versione di Adobe AIR installata sul sistema, seguire le istruzioni riportate nella nota tecnica Adobe AIR.

Adobe ringrazia gli ingegneri del Google Security Team per aver segnalato i problemi specifici e per aver lavorato con Adobe per proteggere i propri clienti: Mateusz Jurczyk, Gynvael Coldwind, e Fermin Serna per le vulnerabilità CVE-2012-5274, CVE-2012-5275, CVE-2012-5276, CVE-2012-5277, CVE-2012-5279, CVE-2012-5280 ed Eduardo Vela Nava in particolare per la vulenerabilità CVE-2012-5278.

1 commento: