mercoledì 13 agosto 2014

Adobe tappa 8 vulnerabilità di sicurezza in Flash Player, Reader e AIR


Microsoft ha rilasciato gli aggiornamenti di sicurezza relativi al Patch Day di agosto e Adobe ha tappato una vulnerabilità zero-day in Reader e Acrobat che è stata sfruttata in attacchi mirati e sette bug in Flash Player. Costin Raiu, direttore del Kaspersky Lab Global Research and Analysis Team  (GReAT) è accreditato per aver segnalato la vulnerabilità.  I dettagli non sono stati annunciati, ma Raiu ha detto che exploit sono stati osservati in un numero limitato di attacchi mirati. Adobe ha detto che gli aggressori hanno preso di mira le macchine Windows che eseguono il software Reader e Acrobat. 

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Reader e Acrobat XI (11.0.07) e versioni precedenti per Windows. Questi aggiornamenti riguardano una vulnerabilità che potrebbe consentire a un utente malintenzionato di aggirare la protezione sandbox sulla piattaforma Windows. Adobe Reader e Acrobat per Apple OS X non sono interessati. Adobe è a conoscenza di prove che indicano un exploit in natura viene utilizzata in attacchi limitati e isolati rivolti agli utenti di Adobe Reader su Windows. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni. 

Gli utenti di Adobe Reader XI (11.0.07) e versioni precedenti per Windows devono aggiornare alla versione 11.0.08. Per gli utenti di Adobe Reader X (10.1.10) e versioni precedenti per Windows, che non possono effettuare l'aggiornamento alla versione 11.0.08, Adobe ha reso disponibile la versione 10.1.11. Gli utenti di Adobe Acrobat XI (11.0.07) e versioni precedenti per Windows devono aggiornare alla versione 11.0.08. Per gli utenti di Adobe Acrobat X (10.1.10) e versioni precedenti per Windows, che non possono effettuare l'aggiornamento alla versione 11.0.08, Adobe ha reso disponibile la versione 10.1.11. 

Gli utenti di Windows possono utilizzare il meccanismo di aggiornamento dei prodotti. La configurazione di default è impostata per l'esecuzione automatica degli aggiornamenti a intervalli regolari. Il controllo degli aggiornamenti può essere attivato ​​manualmente scegliendo Aiuto> Controlla aggiornamenti. Gli utenti di Adobe Reader per Windows possono inoltre trovare l'aggiornamento appropriato qui. Gli utenti di Acrobat Standard e gli utenti Pro per Windows possono inoltre trovare l'aggiornamento appropriato qui. Gli utenti di Acrobat Pro Extended per Windows possono inoltre trovare l'aggiornamento appropriato qui.

Questi aggiornamenti risolvono una vulnerabilità sandbox bypass che potrebbe essere sfruttata per eseguire codice nativo con escalation dei privilegi su Windows (CVE-2014-0546). Le altre sette vulnerabilità riguardano Flash Player, la maggior parte delle quali sono considerate critiche. Adobe ha rilasciato aggiornamenti di sicurezza per Flash Player 14.0.0.145 e versioni precedenti per Windows e Macintosh e Flash Player 11.2.202.394 e versioni precedenti per Linux. Questi aggiornamenti riguardano vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato.

Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni. Gli utenti di Adobe Flash Player ActiveX plugin per Internet Explorer versione 14.0.0.145 e versioni precedenti devono aggiornare a Adobe Flash Player 14.0.0.176. Gli utenti del plugin Adobe Flash Player Windows NPAPI per Firefox versione 14.0.0.145 e versioni precedenti devono aggiornare a Adobe Flash Player 14.0.0.179. Gli utenti della versione di Adobe Flash Player 14.0.0.145 e versioni precedenti per Macintosh devono aggiornare a Adobe Flash Player 14.0.0.176.


Gli utenti di Adobe Flash Player 11.2.202.394 e versioni precedenti per Linux dovrebbero aggiornare ad Adobe Flash Player 11.2.202.400. Adobe Flash Player 14.0.0.145 installato con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che includerà Adobe Flash Player 14.0.0.177 per Windows, Macintosh e Linux. Adobe Flash Player 14.0.0.145 installato con Internet Explorer 10 verrà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che includerà Adobe Flash Player 14.0.0.176 per Windows 8.0.

Adobe Flash Player 14.0.0.145 installato con Internet Explorer 11 verrà automaticamente aggiornato alla versione più recente di IE 11, che includerà Adobe Flash Player 14.0.0.176 per Windows 8.1. Gli utenti di Adobe AIR 14.0.0.110 e versioni precedenti per Windows e Macintosh dovrebbero aggiornare a Adobe AIR 14.0.0.178. Gli utenti di Adobe AIR SDK 14.0.0.137 e versioni precedenti dovrebbero aggiornare a Adobe AIR SDK 14.0.0.178. Gli utenti di Adobe AIR SDK & Compiler 14.0.0.137 e versioni precedenti dovrebbero aggiornare a Adobe AIR SDK 14.0.0.178 & Compiler.

Gli utenti di Adobe AIR 14.0.0.137 e versioni precedenti per Android devono aggiornare a Adobe AIR 14.0.0.179. Adobe consiglia agli utenti di Adobe Flash Player plug-in di Active X per Internet Explorer versione 14.0.0.145 e versioni precedenti di aggiornare ad Adobe Flash Player 14.0.0.176 scaricandolo dall'Adobe Flash Player Download Center, o tramite il meccanismo di aggiornamento all'interno del prodotto quando richiesto.  Adobe consiglia agli utenti del plugin Adobe Flash Player Windows NPAPI per Firefox versione 14.0.0.145 e versioni precedenti di aggiornare ad Adobe Flash Player 14.0.0.179.

Adobe consiglia agli utenti della versione di Adobe Flash Player 14.0.0.145 e versioni precedenti per Macintosh dovrebbero aggiornare a Adobe Flash Player 14.0.0.176. Adobe consiglia agli utenti di Adobe Flash Player 11.2.202.394 e versioni precedenti per Linux di aggiornare ad Adobe Flash Player 11.2.202.400 scaricandolo dall'Adobe Flash Player Download Center. Adobe Flash Player 14.0.0.145 installato con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che includerà Adobe Flash Player 14.0.0.177 per Windows, Macintosh e Linux.

Per gli utenti di Flash Player 14.0.0.145 e versioni precedenti per Windows e Macintosh, che non possono aggiornare Flash Player 14.0.0.176, Adobe ha reso disponibile la versione di Flash Player 13.0.0.241, che può essere scaricato da qui. Adobe Flash Player 14.0.0.145 installato con Internet Explorer 10 verrà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che includerà Adobe Flash Player 14.0.0.176 per Windows 8.0. Adobe Flash Player 14.0.0.145 installato con Internet Explorer 11 verrà automaticamente aggiornato alla versione più recente di Internet Explorer 11.

Questa nuova versione includerà Adobe Flash Player 14.0.0.176 per Windows 8.1. Gli utenti di Adobe AIR 14.0.0.110 e versioni precedenti per Windows e Macintosh devono aggiornare ad Adobe AIR 14.0.0.178. Gli utenti di Adobe AIR SDK 14.0.0.137 e versioni precedenti devono aggiornare ad Adobe AIR SDK 14.0.0.178. Gli utenti di Adobe AIR SDK & Compiler 14.0.0.137 e versioni precedenti devono aggiornare ad Adobe AIR SDK 14.0.0.178 & Compiler. Gli utenti di Adobe AIR 14.0.0.137 e versioni precedenti per Android devono aggiornare ad Adobe AIR 14.0.0.179.

Adobe classifica questi aggiornamenti con diverse valutazioni di priorità  e consiglia agli utenti di aggiornare la loro installazione alla versione più recente. Questi aggiornamenti risolvono delle vulnerabilità di perdita di memoria che potrebbero essere utilizzati per bypassare indirizzo di memoria randomizzazione (CVE-2014-0540, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545). Gli altri aggiornamenti risolvono una vulnerabilità di bypass di sicurezza (CVE-2014-0541). I restanti aggiornamenti risolvono una vulnerabilità use-after-free che potrebbe provocare l'esecuzione di codice (CVE-2014-0538).

Nessun commento:

Posta un commento