venerdì 12 aprile 2013

Adobe, rilasciati aggiornamenti critici per Flash, Shockwave e ColdFusion


Adobe, in concomitanza del patch day di Microsoft, ha rilasciato le versioni aggiornate di Flash Player, Adobe Air, Shockwave Player e ColdFusion. Le patch, distribuite nelle scorse ore, affrontano una serie di problemi in Adobe Flash Player, una vulnerabilità di integer overflow e un difetto di corruzione della memoria che permette di eseguire codice. E' stata corretta una separata vulnerabilità di corruzione della memoria causata da Flash Player che inizializza in modo improprio dei puntatori array di memoria consentendo al codice di essere eseguito.

Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 11.6.602.180 e versioni precedenti per Windows e Macintosh, Adobe Flash Player 11.2.202.275 e versioni precedenti per Linux, Adobe Flash Player 11.1.115.48 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.44 e versioni precedenti per Android 3.xe 2.x. Questi aggiornamenti di vulnerabilità potrebbero causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato.

Gli utenti di Adobe Flash Player 11.6.602.180 e versioni precedenti per Windows e Macintosh devono aggiornare ad Adobe Flash Player 11.7.700.169. Gli utenti di Adobe Flash Player 11.2.202.275 e versioni precedenti per Linux devono aggiornare ad Adobe Flash Player 11.2.202.280. Adobe Flash Player 11.6.602.180 installato con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che include Adobe Flash Player 11.7.700.179 11.7.700.169 per Windows e per Macintosh e Linux. 

Adobe Flash Player 11.6.602.180 installato con Internet Explorer 10 verrà automaticamente aggiornato alla più recente versione di Internet Explorer 10, che comprende Adobe Flash Player 11.7.700.169 per Windows 8. Gli utenti di Adobe Flash Player 11.1.115.48 e versioni precedenti sui dispositivi Android 4.x devono aggiornare ad Adobe Flash Player 11.1.115.54. Gli utenti di Adobe Flash Player 11.1.111.44 e versioni precedenti per Android 3.xe 2.x devono aggiornare Flash Player alla versione 11.1.111.50.


Gli utenti di Adobe AIR 3.6.0.6090 e versioni precedenti per Windows, Macintosh e Android devono aggironare ad Adobe AIR 3.7.0.1530. Gli utenti di Adobe AIR 3.6.0.6090 SDK & Compilator e versioni precedenti devono aggiornare ad Adobe AIR 3.7.0.1530 SDK & Compilator. Gli aggiornamenti risolvono una vulnerabilità di overflow di valori integer che potrebbe provocare l'esecuzione di codice (CVE-2013-2555). Vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2013-1378, CVE-2013-1380).

Infine, una vulnerabilità di corruzione della memoria causata da Flash Player che  in modo improprio inizializza alcuni puntatori array di memoria, potrebbe provocare l'esecuzione di codice (CVE-2013-1379). Per verificare la versione di Adobe Flash Player installata sul vostro sistema, accedere alla pagina Informazioni su Flash Player http://www.adobe.com/software/flash/about/, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu.


Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul vostro sistema. Per verificare la versione di Adobe Flash Player per Android, vandate in Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx. Per verificare la versione di Adobe AIR installato sul sistema, seguire le istruzioni riportate nella nota tecnica Adobe AIR helpx.adobe.com/air/kb/determine-version-air-runtime.html. Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Shockwave Player 12.0.0.112 e versioni precedenti sui sistemi operativi Windows e Macintosh.

Questo aggiornamento risolve le vulnerabilità che potrebbero consentire a un utente malintenzionato che sfrutti queste vulnerabilità, l'esecuzione di codice dannoso sul sistema interessato. Questo aggiornamento risolve una vulnerabilità di overflow del buffer che potrebbe provocare l'esecuzione di codice (CVE-2013-1383). L'aggiornamento risolve vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2013-1384, CVE-2013-1386).

Adobe consiglia agli utenti di Adobe Shockwave Player 12.0.0.112 e versioni precedenti l'aggiornamento ad Adobe Shockwave Player 12.0.2.122 seguendo le istruzioni fornite nella "Soluzione" di seguito. L'aggiornamento risolve una vulnerabilità di perdita di memoria che potrebbe essere sfruttata per ridurre l'efficacia dell'indirizzo spazio di randomizzazione (CVE-2013-1385).  Adobe consiglia agli utenti di Adobe Shockwave Player 12.0.0.112 e versioni precedenti di eseguire l'aggiornamento alla versione 12.0.2.122, disponibile qui get.adobe.com/shockwave/

Adobe ha rilasciato un hotfix di sicurezza per ColdFusion 10, 9.0.2, 9.0.1 e 9.0 per Windows, Macintosh e UNIX. Adobe consiglia agli utenti di aggiornare la propria installazione del prodotto utilizzando le istruzioni fornite nella "Soluzione" di seguito. Questo hotfix risolve una vulnerabilità che potrebbe essere sfruttata per impersonare un utente autenticato (CVE-2013-1387). Questo hotfix risolve una vulnerabilità che potrebbe essere sfruttata da un utente non autorizzato ad accedere alla console di amministrazione di ColdFusion (CVE-2013-1388). Adobe consiglia ai clienti di ColdFusion aggiornare l'installazione seguendo le istruzioni fornite nel documento tecnico helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb13-10.html

Nessun commento:

Posta un commento