Adobe chiude un buco in Flash

Quasi pronto un update che promette di risolvere una vulnerabilità già ampiamente sfruttata da cracker e phisher nel player. Nel frattempo alcuni hacker hanno già scoperto un nuovo bug

Roma – Adobe sta mettendo a punto un aggiornamento per Flash Player capace di risolvere una vulnerabilità che, negli ultimi tre mesi, ha permesso ai cracker di violare migliaia di siti web.

Il problema è stato divulgato per la prima volta lo scorso dicembre da un ricercatore del Google Security Team, Rich Cannings, e consente ad un aggressore di creare un file Shockwave Flash (.swf) in grado, quando aperto, di lanciare uno script maligno. La falla, di tipo cross-site scripting, riguarda il codice generato dal comando di inserimento Flash Video in Dreamweaver e Contribute, e potrebbe essere utilizzata per creare attacchi di phishing e rubare dati agli utenti.

Lo scorso gennaio la debolezza è già stata corretta nelle applicazioni utilizzate per creare i file Flash, tra cui Dreamweaver e Contribute, che ora generano contenuti Flash non più vulnerabili. Adobe ha però ammesso che là fuori c’è ancora un numero potenzialmente elevato di file vulnerabili, e che dunque è necessario risolvere il problema anche lato client, aggiornando il plug-in Flash Player.

Maggiori dettagli sulla vulnerabilità sono contenuti in questo advisory .

Adobe non ha ancora finito di stuccare l’ultima falla di Flash che gli hacker ne hanno già scoperta una nuova. Il bug è stato sfruttato per la prima volta nel corso del contest Pwn to Own tenutosi presso la conferenza CanSecWest di Vancouver, in Canada. Qui tre giovani ricercatori di sicurezza si sono avvalsi del bug da loro scoperto in Flash Player per prendere il controllo di un laptop su cui girava Windows Vista.

I dettagli della falla non sono ancora stati resi pubblici: i suoi scopritori hanno fatto sapere di aver già segnalato il problema ad Adobe, e di voler attendere il rilascio di una patch ufficiale prima di divulgare altre informazioni.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • (ivan) scrive:
    un mobile social software...
    http://www.interaction-venice.com/projects/iuav07-08Lab1/projects/hacktion/
  • fabio scrive:
    grazie spiral tribe
    grazie della dritta!!!
  • Ingenuo 2001 scrive:
    Elementi di diritto
    Troppi anni sono passati dai miei pochi studi di diritto.Secondo me bisogna partire dal rispondere alle seguenti domande.Nella società moderna esiste distinzione tra un diritto individuale e uno collettivo?Posso esercitare collettivamente un diritto individuale?Posso dare appuntamento a un mio amico in un luogo X?Posso dare appuntamento a mille miei amici in un luogo X in barba alla pubblica autorità?Le risposta che mi do sono: sì, no, sì, no.Se fosse così si stabilirebbe che lo scopo per cui veniva utilizzato il sistema in oggetto (e non il sistema) sarebbe illegale e quindi perseguibile.Voi che ne dite?Ingenuo 2001
  • Epimenide scrive:
    UK & Spiral Tribe
    Ricordiamoci la storia analoga del movimento rave nei primi anni '90 in UK.parola chiave:"spiral tribe"
  • anonymous scrive:
    è la democrazia bellezza
    e tu non puoi farci niente!inutile anche mettere i tag censura,libertà di pensiero e repressione, vero ?tanto non stiamo mica parlando di stati canaglia...
  • Il campo nome e cognome scrive:
    chiedono la subpoena
    Chi è il traduttore? Il pesce di babele?Il subpoena è un'intimazione/citazione legale (anche solo a comparire o consegnare della documentazione, come in questo caso).
    • kulil scrive:
      Re: chiedono la subpoena
      - Scritto da: Il campo nome e cognome
      Chi è il traduttore? Il pesce di babele?

      Il subpoena è un'intimazione/citazione legale
      (anche solo a comparire o consegnare della
      documentazione, come in questo
      caso).anche io non capisco perchè continuano a dire subpoena invece di un più comodissimo "intimazione/citazione":D
  • roberto scrive:
    evviva evviva
    come sono contento!prima internet, adesso gli sms... il prossimo cos'è?
    • pippo scrive:
      Re: evviva evviva

      come sono contento!
      prima internet, adesso gli sms... il prossimo
      cos'è?Nooooo, ma i cattivi non erano in cina? :D
Chiudi i commenti