Adobe rilascia una nuova versione di Flash, player multimediale che viene rammendato una volta di più contro una vulnerabilità di sicurezza con livello di pericolosità critico. A rischio questa volta sono i cookie dei siti Web più popolari, anche se in molti si sono già mossi per risolvere il problema lato server.
La nuova versione di Flash, la 14.0.0.145 (11.2.202.394 su Linux per browser diversi da Chrome), arriva in concomitanza con gli oltre 20 aggiornamenti contenuti nel Patch Tuesday di Microsoft e serve a chiudere le porte al tool Rosetta Flash ideato dall’ingegnere di Google Michele Spagnuolo .
Rosetta Flash permette di abusare della vulnerabilità presente sia nel player Adobe che fra le comunicazioni JSONP tra client e server: usando il tool è possibile creare file SWF (il formato predefinito di Adobe Flash) con cui rubare i cookie di autenticazione su eBay, Tumblr, Twitter, Instagram e tanti altri siti Web molto popolari presso l’utenza.
La vulnerabilità sfruttata da Rosetta Flash era stata sin qui trascurata, ma ora l’esistenza del tool ne ha spinto la gravità fino al livello critico chiamando in causa Adobe e gli amministratori di sistema dei servizi remoti. Molti dei siti coinvolti hanno già chiuso la vulnerabilità, spiega Spagnuolo.
Alfonso Maruccia