L’aggiornamento ha l’obiettivo di sanare una vulnerabilità che espone gli utenti ad attacchi “0-day”. La vulnerabilità è già stata sfruttata contro gli utenti Gmail.
Adobe ha rilasciato un nuovo aggiornamento di sicurezza con l’obiettivo di sanare una vulnerabilità che potrebbe esporre gli utenti di Flash Player ad attacchi “0-day“.
La lacuna, risolvibile attraverso l’installazione dell’update 10.3.181.23, può essere sfruttata dagli aggressori per sferrare attacchi di tipo “cross-site scripting“: lo scopo è quello di effettuare operazioni su vari siti web così come se fossero richieste dall’utente.
Mentre Google sembra aver già integrato l’aggiornamento correttivo nell’ultima versione del suo browser Chrome, Adobe rilascerà una versione destinata agli utenti Android nel corso della settimana.
Per il momento, il problema è stato risolto nelle release di Flash Player destinate a sistemi Windows, Linux, Mac OS X e Solaris.
Istruzioni per l’aggiornamento
- Qualunque sia il browser da voi utilizzato, suggeriamo di collegarvi con questa pagina in modo tale da verificare la versione di Adobe Flash Player installata.
- A questo punto, visitando questa pagina, potrete procedere all’installazione di Flash Player 10.3.181.23 (nel caso di Internet Explorer) e 10.3.181.22 (nel caso degli altri browser web).
- In alternativa, il file per l’aggiornamento della versione di Flash Player impiegata da Internet Explorer, pu ò essere prelevato ed installato manualmente cliccando qui.
La versione per Firefox e gli altri browser è invece disponibile a questo indirizzo. Utilizzando questi file d’installazione si eviterà l’installazione del “download manager” di Adobe.
E’ bene tenere presente che l’operazione deve essere ripetuta per ciascun browser installato sulla propria macchina: Internet Explorer e Mozilla Firefox, ad esempio, utilizzano tecnologie differenti per supportare Flash. Com’è noto, infatti, il prodotto di Microsoft impiega la tecnologia ActiveX per inserire oggetti Flash nelle pagine web visualizzate.
Nel caso di Google Chrome, digitando nella barra degli indirizzi l’URL about:plugins, si dovrà leggere l’indicazione del numero di versione accanto alla voce Flash.
Mentre il bollettino relativo a Flash Player è stato già pubblicato, Adobe ha chiarito di essere ancora al lavoro per verificare se il problema possa essere sfruttato anche in Reader ed Acrobat.
Vulnerabilità già sfruttata
Adobe ha anche comunicato che la vulnerabilità in Flash Player è stata utilizzata da parte dei criminali informatici per sottrarre le credenziali di accesso appartenenti ad alcuni utenti di Gmail.
La portavoce di Adobe, Wiebke Lips, ha spiegato che sarebbero già in essere diversi attacchi mirati agli utenti di Gmail, che si presentano sotto forma di messaggi di posta che invitano a cliccare su link malevoli.
Sebbene l’aggressione sia per il momento rivolta nei confronti di Gmail “non possiamo escludere che altri fornitori di servizi webmail possano essere oggetto d’attacco“, ha precisato la Lips.
