Adobe: bug critico in Flash, Acrobat e Reader

di Tullio Matteo Fanti

16 Marzo 2011 15:30

Nuova vulnerabilità zero-day in Adobe Flash, Acrobat e Reader. La patch correttiva arriverà nel corso della prossima settimana.

Adobe ha pubblicato un nuovo bollettino di sicurezza per una vulnerabilità critica scoperta in Flash Player, Acrobat e Reader. La vulnerabilità non risparmia nessun sistema operativo compatibile con tali software, Android compreso, seppure le condizioni alla base dell’exploit appaiono al momento alquanto limitate.

Per quanto riguarda Flash, sono elencate nel bollettino le versioni 10.2.152.33 (e precedenti) per Windows, Linux, Mac e Solaris, compresa la 101.106.16 (e precedenti) per Android. Sotto accusa anche la libreria authplay.dll presente in Adobe Reader e Acrobat X 10.0.1 e le precedenti 10.x e 9.x per Windows e Mac.

Seppure il bug permetta di mandare in crash il sistema operativo vittima dell’attacco, prendendone completo controllo, il meccanismo alla base dell’exploit richiede necessariamente «l’invio di un file Flash (.swf) incorporato all’interno di un file Microsoft Excel(.xls) distribuito via email». Al momento non sono stati avvistati attacchi condotti direttamente tramite Reader o Acrobat.

Come riportato all’interno del bollettino Adobe, al momento non esiste alcuna patch correttiva, seppure Adobe si dichiari intenzionata a rilasciare un aggiornamento nel corso della prossima settimana. L’update sarà rivolto a Flash Player 10.x (e precedenti) per Windows, Macintosh, Linux, Solaris e Android, così come Reader X per Macintosh e Reader 9.4.2 (e precedenti) per Windows.

L’ennesima vulnerabilità scoperta in Flash mette ancora una volta in discussione il player Adobe, già ripudiato da Steve Jobs ed ora rinnegato anche da Jay Sullivan, vice presidente di Mozilla, che spera in una massiccia diffusione di HTML5 grazie a Firefox 4, Internet Explorer 9 e Chrome. Secondo Roel Schouwenberg, importante ricercatore Kaspersky, si tratterebbe invece per Excel del «classico esempio di come troppe funzionalità possano essere nocive»: a cosa può realmente servire una animazione Flash in una tabella Excel?