Grave vulnerabilità in Adobe Flash, l’exploit è pubblico

di Giacomo Dotta

7 Giugno 2010 11:20

logo PMI+ logo PMI+
Adobe ammette la scoperta di una grave vulnerabilità in Adobe Flash. Un exploit sarebbe già stato scoperto in rete, ma la diffusione sarebbe ancor bassa. Il pericolo è immediato, ma c'è una via d'uscita

Adobe ha segnalato la scoperta di una grave vulnerabilità in Flash 10.0.45.2 e precedenti, vulnerabilità al momento priva di patch ma al tempo stesso già nel mirino di un exploit pubblico. Una “zero-day” di estremo pericolo, dunque, per la quale esiste però una possibile via di fuga immediata.

In pericolo è qualunque utente del web che utilizza Adobe Flash Player per Windows, Macintosh, Linux e Solaris, ovvero la quasi totalità degli utenti connessi alla rete. La vulnerabilità è particolarmente insidiosa (la stessa Adobe, con apposito bollettino di sicurezza, la definisce “critica”) poichè porta al crash del player ed è in grado autorizzare il pieno controllo sul sistema sottraendo dati, installando software o portando avanti azioni truffaldine di particolare pericolo e gravità soprattutto in realtà aziendali.

Adobe Reader ed Acrobat 9.x per Windows, Macintosh e Unix risultano compromessi al pari di Adobe Flash. L’utenza più esperta ha la possibilità di intervenire manualmente sulla componente authplay.dll per fermare il problema in attesa di una patch da Adobe, ma trattasi di un intervento non alla portata di tutti e comunque utile soltanto come provvisorio workaround.

Una soluzione a portata di tutti, invece, è in Flash Player 10.1. La prossima versione di Flash, infatti, è in distribuzione in Release Candidate (dunque un passo prima rispetto alla distribuzione ufficiale) e risulta immune al problema. Passare alla versione non ufficiale di Adobe, insomma, può essere comunque una buona scelta, mettendo così al riparo il sistema da un exploit che, pur se attualmente poco diffuso, potrebbe a breve esplodere in tutto il suo potenziale.