giovedì 10 gennaio 2013

Adobe Day: update per risolvere problemi in Flash Player, AIR e Acrobat


Nello stesso giorno del rilascio dei sette aggiornamenti da parte di Microsoft, arriva un importante update di sicurezza da Adobe, con due bollettini contenenti patch per Flash, Acrobat e Reader. Da tempo l'azienda di San Jose  ha scelto di pubblicare i suoi bollettini di sicurezza il secondo martedì del mese, come ha sempre fatto la casa di Redmond. Il primo bollettino di sicurezza di Adobe (APSB13-01) riguarda Flash Player.

Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 11.5.502.135 e versioni precedenti per Windows, Adobe Flash Player 11.5.502.136 e versioni precedenti per Macintosh, Adobe Flash Player 11.2.202.258 e versioni precedenti per Linux, Adobe Flash Player 11.1.115.34 e versioni precedenti versioni per Android 4.x, e Adobe Flash Player 11.1.111.29 e versioni precedenti per Android 3.xe 2.x. 

Gli aggiornamenti risolvono una vulnerabilità che potrebbe causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Gli aggiornamenti risolvono una vulnerabilità di buffer overflow che potrebbe provocare l'esecuzione di codice (CVE-2013-0630). Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni: Gli utenti di Adobe Flash Player 11.5.502.135 e versioni precedenti per Windows dovrebbe aggiornare ad Adobe Flash Player 11.5.502.146.

Gli utenti di Adobe Flash Player 11.5.502.136 e versioni precedenti per Macintosh devono eseguire l'aggiornamento ad Adobe Flash Player 11.5.502.146. Gli utenti di Adobe Flash Player 11.2.202.258 e versioni precedenti per Linux devono eseguire l'aggiornamento ad Adobe Flash Player 11.2.202.261. Flash Player con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che include Adobe Flash Player 11.5.31.137 per Windows, Macintosh e Linux.

Flash Player installato con Internet Explorer 10 per Windows 8 verrà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che comprende Adobe Flash Player 11.3.378.5 per Windows. Gli utenti di Adobe Flash Player 11.1.115.34 e versioni precedenti sui dispositivi Android 4.x devono eseguire l'aggiornamento ad Adobe Flash Player 11.1.115.36. Gli utenti di Adobe Flash Player 11.1.111.29 e versioni precedenti per Android 3.x e versioni precedenti devono eseguire l'aggiornamento Flash Player alla versione 11.1.111.31.

Gli utenti di Adobe AIR 3.5.0.880 e versioni precedenti per Windows devono eseguire l'aggiornamento ad Adobe AIR 3.5.0.1060. Gli utenti di Adobe AIR 3.5.0.890 e versioni precedenti per Macintosh dovrebbe aggiornamento ad Adobe AIR 3.5.0.1060. Gli utenti di Adobe AIR SDK (include AIR per iOS) devono eseguire l'aggiornamento ad Adobe AIR 3.5.0.1060 SDK.  Per verificare la versione di Adobe Flash Player installato sul vostro sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. 

Se si utilizzano più browser e non avete selezionato l'opzione "Consenti Adobe di installare gli aggiornamenti" (solo Windows e Macintosh), eseguire la verifica per ogni browser installato sul vostro sistema. Per verificare la versione di Adobe Flash Player per Android, vai in Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx Per verificare la versione di Adobe AIR installata sul sistema, seguire le istruzioni riportate nella nota tecnica di Adobe AIR .

Adobe ringrazie le seguenti persone e l'organizzazione per aver segnalato il problema in questione e per lavorare con Adobe per proteggere i suoi clienti: Mateusz Jurczyk, Gynvael Coldwind, e Fermin Serna del Google Security Team. Il secondo bollettino Adobe (APSB13-02) è invece per Acrobat e Reader (Windows, Mac, Linux). Adobe ha rilasciato gli aggiornamenti di sicurezza per Reader e Acrobat XI (11.0.0) e versioni precedenti per Windows e Macintosh, e Adobe Reader 9.5.1 e versioni precedenti 9.x per Linux.. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni.

Gli utenti di Adobe Reader XI (11.0.0) per Windows e Macintosh devono eseguire l'aggiornamento ad Adobe Reader XI (11.0.1). Per gli utenti di Adobe Reader X (10.1.4) e versioni precedenti per Windows e Macintosh, che non possono aggiornare ad Adobe Reader XI (11.0.1), Adobe ha reso disponibile l'aggiornamento di Adobe Reader X (10.1.5). Per gli utenti di Adobe Reader 9.5.2 e versioni precedenti per Windows e Macintosh, che non possono aggiornare ad Adobe Reader XI (11.0.1), Adobe ha reso disponibile l'aggiornamento per Adobe Reader 9.5.3. 

Gli utenti delle versioni di Adobe Reader 9.5.1 e versioni precedenti per Linux devono eseguire l'aggiornamento ad Adobe Reader 9.5.3. Gli utenti di Adobe Acrobat XI (11.0.0) per Windows e Macintosh dovrebbe aggiornare ad Adobe Acrobat XI (11.0.1). Gli utenti di Adobe Acrobat X (10.1.4) e versioni precedenti per Windows e Macintosh devono eseguire l'aggiornamento ad Adobe Acrobat X (10.1.5). Gli utenti di Adobe Acrobat 9.5.2 e versioni precedenti per Windows e Macintosh devono eseguire l'aggiornamento ad Adobe Acrobat 9.5.3.

Gli aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2012-1530, CVE-2013-0601, CVE-2013-0605, CVE-2013-0616, CVE-2013-0619, CVE-2013-0620, CVE-2013-0623). Gli aggiornamenti risolvono una vulnearbilità use-after-free che potrebbe provocare l'esecuzione di codice (CVE-2013-0602). Questi aggiornamenti risolvono vulnerabilità di heap overflow che potrebbe provocare l'esecuzione di codice (CVE-2013-0603, CVE-2013-0604). 

Gli aggiornamenti risolvono vulnerabilità di stack overflow che potrebbero provocare l'esecuzione di codice (CVE-2013-0610, CVE-2013-0626). Gli aggiornamenti risolvono vulnerabilità buffer overflow che potrebbero provocare l'esecuzione di codice (CVE-2013-0606, CVE-2013-0612, CVE-2013-0615, CVE-2013-0617, CVE-2013-0621). Gli aggiornamenti risolvono vulnerabilità di integer overflow che potrebbero provocare l'esecuzione di codice (CVE-2013-0609, CVE-2013-0613). 

Gli aggiornamenti risolvono una vulnerabilità privilege escalation da locale (CVE-2013-0627). Gli aggiornamenti risolvono vulnerabilità di logic error che potrebbero provocare l'esecuzione di codice (CVE-2013-0607, CVE-2013-0608, CVE-2013-0611, CVE-2013-0614, CVE-2013-0618). Questi aggiornamenti risolvono vulnerabilità di security bypass (CVE-2013-0622, CVE-2013-0624). Adobe consiglia agli utenti di aggiornare le installazioni del software seguendo le istruzioni riportate di seguito.

Adobe Reader - Gli utenti di Windows e Macintosh possono utilizzare il meccanismo di update del prodotto. La configurazione di default è impostata per l'esecuzione automatica degli aggiornamenti a intervalli regolari. Update check può essere attivata manualmente scegliendo Aiuto> Ricerca aggiornamenti. Gli utenti di Adobe Reader per Windows possono inoltre trovare l'aggiornamento appropriato qui.  Gli utenti di Adobe Reader per Macintosh possono inoltre trovare l'aggiornamento appropriato qui. Gli utenti di Adobe Reader per Linux possono trovare l'aggiornamento appropriato qui

• Adobe Acrobat - Gli utenti possono utilizzare il meccanismo di update del prodotto. La configurazione di default è impostata per l'esecuzione automatica degli aggiornamenti a intervalli regolari. Update checks può essere attivata manualmente scegliendo Aiuto> Ricerca aggiornamenti. Acrobat Standard e Pro per gli utenti Windows possono inoltre trovare l'aggiornamento appropriato qui. Utenti di Acrobat Pro Extended per Windows possono inoltre trovare l'aggiornamento appropriato qui. Gli utenti di Acrobat Pro per Macintosh possono inoltre trovare l'aggiornamento appropriato qui.

Consigliamo le seguenti azioni da intraprendere: installare gli aggiornamenti forniti da Adobe; considerare l'installazione e l'esecuzione di Adobe Reader in modalità protetta; portare tutti i software come utente non privilegiato (senza privilegi amministrativi) per diminuire gli effetti di un attacco di successo; ricordiamo agli utenti di non visitare siti Web non attendibili oppure seguire i link forniti da fonti sconosciute o non attendibili; non aprire allegati di posta elettronica provenienti da fonti sconosciute o non attendibili.

Adobe ringrazia i singoli e le organizzazioni seguenti per aver segnalato i problemi specifici e per lavorare con Adobe per proteggere i suoi clienti: Nicolas Grégoire e Alexander attraverso Programma iDefense Vulnerability Contributor; Tom Gallagher di Microsoft e Microsoft Vulnerability Research (MSVR); Joel Geraci di Pratical:PDF; David D. rude II di iDefense Labs, Billy Rios, Federico Lanusse,  Mauro Gentile, Myke Hamada, Joost Bakker, Anand Bhat e Timothy McKenzie.

RIFERIMENTI 

Nessun commento:

Posta un commento