skip to main | skip to sidebar
39 commenti

Occhio alla falla critica di Flash, Acrobat e Reader (UPD 20100921)

Vulnerabilità "estremamente critica" in Flash per Windows, Mac, Linux, Solaris e Android


Un altro giorno, un altro buco. Stavolta bello grosso. Adobe, la società di software che produce il popolarissimo Flash che sta alla base della visualizzazione di tanti video e giochi su Internet, ha pubblicato un avviso di sicurezza che segnala una "vulnerabilità critica" (la società di sicurezza Secunia la definisce "estremamente critica") in Flash Player 10.1.82.76 per Windows, Mac, Linux, Solaris e in Flash Player 10.1.92.0 per Android.

La falla interessa anche Adobe Acrobat e Adobe Reader versione 9.3.4 per Windows, Mac e Unix e alcune versioni precedenti, perché questi programmi di gestione e lettura dei documenti PDF supportano i contenuti in formato Flash all'interno dei documenti.

Le conseguenze di questa vulnerabilità sono serie: un aggressore può prendere il controllo del vostro computer ed eseguirvi codice ostile. Adobe dice che i malfattori della Rete stanno già sfruttando la falla in Flash Player per le loro incursioni.

Il rattoppo per Flash Player sarà pronto entro "la settimana che include il 27 settembre", per dirla con Adobe, e quello per Acrobat e Reader arriverà entro la settimana successiva. Nel frattempo è opportuno fare attenzione ai siti visitati e utilizzare programmi alternativi per la visualizzazione dei documenti PDF.

Ma come mai i prodotti di Adobe sono così presi di mira? Come spiega Graham Cluley, della società di sicurezza Sophos, è la vastissima adozione dei suoi prodotti da parte di milioni di utenti in tutto il mondo a renderli un bersaglio altamente appetibile per i criminali informatici. Io ci aggiungerei anche un pizzico di imprudenza da parte di Adobe nel regalare troppe funzioni al proprio software, ma questa è un'altra storia.


2010/09/21


L'aggiornamento per Flash Player che risolve la falla è disponibile: le istruzioni su come installarlo sono fornite qui da Adobe. Se correttamente installato, l'aggiornamento porta Flash Player alla versione 10.1.85.3 (Windows, Mac, Linux e Solaris) e alla versione 10.1.95.1 per Android. Per sapere che versione di Flash avete installato, potete cliccare qui. Chi ha un cellulare Android può scaricare l'aggiornamento dall'Android Marketplace.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (39)
Se qualcuno ha installato Microsoft EMET (anche se lo conoscono in pochi) potrebbe mitigare gli effetti per quanto riguarda Windows. Qui ci sono le istruzioni: http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx
Questo commento è stato eliminato dall'autore.
Porca miseria.
Ormai passo la maggior parte del mio tempo lavorativo a distribuire gli aggiornamenti dei prodotti Adobe.
Un altro giorno, un altro buco

Ah, ma l'hai visto anche tu sul satellitare ieri notte, confessa! :-)
... ma questa è un'altra storia.
Paolo, cos'è una citazione tratta dalla fine del filmato che ti propongono a Cape Canaveral quando arrivi all'Apollo-Saturn V Center?
Per chi non lo sapesse, nel filmato si ricostruisce il lancio del primo Saturn V verso la luna (missione Apollo 8); alla fine del filmato Jim Lovell (pilota Modulo di Comando in quella missione) dice: "Io poi sarei ritornato nello spazio su Apollo 13, ma questa è un'altra storia."
Scusa Paolo, ma se sul mio Mac io guardo i PDF solo tramite Anteprima? Non Quicklook, specifico.
In teoria non essendo un prodotto Adobe, attraverso il quale si sfrutta la falla, dovrei essere tranquillo, oppure no?
Per Vittorio

... ma questa è un'altra storia.

Paolo, cos'è una citazione tratta dalla fine del filmato che ti propongono a Cape Canaveral quando arrivi all'Apollo-Saturn V Center?


In attesa della risposta di Paolo Attivissimo: la frase è comunissima, soprattutto quando si vuole comunicare il dipanarsi di una vicenda ed evitare di perdersi in mille rivoli. Per inciso, i mille rivoli in cui puntualmente si disperdono le conversazioni coi fuffari.
Per quanto riguarda Acrobat sono d'accordo con te, ci sono tante cose inutili; per quanto concerne Flash di cose superflue non ne vedo poi così tante.

Se posso dare un'altra interpretazione al motivo per cui Flash e Acrobat sono presi di mira è perché insieme ai browser sono il fronte, la prima linea tra esterno (internet) e interno (il computer). Non a caso i browser patiscono le stesse pene (e le falle sono molto democratiche, in questo caso: da Microsoft ad Apple, da Google a Mozilla tutti hanno le loro belle gatte da pelare).
Ma queste vulnerabilità sono critiche anche in caso di antivirus installato?
Non a caso aspettiamo tutti con trepidazione il vp8 e la fine di flash, nel frattempo sui sistemi linux io uso gnash.
@FridayChild: eh, è il problema che si ha quando un prodotto è estremamente diffuso, diventa appetibile per i malintenzionati

@AlfredBorden: mi sa di sì, dato che la falla non modifica il programma in qualche modo ma semplicemente lo utilizza in modo imprevisto.

@orwell1974: bisogna vedere se la vulnerabilità sfrutta un componente di Acrobat o uno di Flash, nel secondo caso temo che qualsiasi programma usi quel componente è a rischio.
strano , per il lettore pdf non utilizzo acrobat , da pdf-x change viewer, ma per flash purtroppo non c'è alternativa valida salvo un pizzico di attenzione come sempre !
Qualcuno sa se è fallata anche la 10.2 "Square"??
Quello che non ho capito è il discorso della falla su sistemi Linux. Riuscirebbe un aggressore ad avere effettivamente quei privilegi?
Ora Steve Jobs starà pensando "faccio bene a non metterlo nei miei devices".
@Luigi Rosa

interessante prodotto, non lo conoscevo

da quel che ho capito va a interagire col processo in memoria, in modo da porre attivamente delle difficoltà agli attaccanti che intendono usare il processo
MS EMET mi fa pensare a un antiemetico.
@lufo88

solo i privilegi dell'utente che sta eseguendo Flash Player
Alfred Borden: certo. L'antivirus non sistema alcuna vulnerabilità, cerca semplicemente di riconoscere programmi nocivi che cercano di installarsi tramite queste vulnerabilità.
Per FridayChild

MS EMET mi fa pensare a un antiemetico.

Anti, dici? Io direi piuttosto un emetico. :-)

Clamoroso fuori tema: lo sapevate che la polizia in alcuni Land tedeschi era autorizzata a somministrare un emetico, assieme a un'iniezione di apomorfina, agli spacciatori sospettati di aver inghiottito bustine con la droga? La norma è stata dichiarata contraria alla Convenzione europea dei diritti dell'uomo, ma qualcuno ha fatto a tempo a crepare prima che fosse pronunciata la sentenza.
l'apomorfina uccide?
Per theDRaKKaR

l'apomorfina uccide?

No, a meno che si sia in presenza di intolleranze note verso il farmaco, come direbbe il bugiardino.
I casi che so, sono deceduti per una manovra medica scorretta: per somministrare a forza l'emetico (in genere sciroppo di ipecac) avevano introdotto un tubicino dal naso, e il tubicino era finito nel polmone anziché nello stomaco, provocando annegamento.
Non conosco tutti i casi di decesso, però.
un bersaglio altamente appetibili? Ahi, ahi ahi :-) Per il resto mi associo alla domanda di Alfred: c'è da preoccuparsi anche se si ha un buon antivirus?
aggiungeri alle conclusioni dell'articolo che se si pensa che un file pdf è capace di riprodurre filmati, interagire con l'utente mediante form, riprodurre contenuti multimediali 3d e simili, sicuramente flash (ma quello dalla presentazione dell'adobe non ricordo), etc... sarà pieno di punti critici che un malintenzionato esperto potrebbe usare a proprio favore

cmq è un pò come windows vs mac: il piu diffuso è anche il piu attaccato
scusate l'abissale OT ma vorrei sapere da voi che utilità ha mettere una tale foto sulla prima pagina del Corriere.it

non credo di essere un gran bigotto, ma mettere la foto di un cadavere in reggiseno di una donna è vergognoso, mi fa vomitare

sono il solo?


prima pagina del Corriere.it
Sul mio Ubuntu ho installato Flashblock, e penso di non incorrere nel problema (e la navigazione è decisamente più fluida).
Anche se purtroppo devo ammettere che i filmati flash li posso vedere solo con Adobe: le alternative open risultano piuttosto scadenti.
@maxbol

Qualcuno sa se è fallata anche la 10.2 "Square"??

Si. Lo hanno confermato gli stessi sviluppatori di Square.

Square is an experimental developers’ preview and might have bugs related to new features.

And just to get this out there, Square is vulnerable to the security issue disclosed earlier this week.
@theDRaKKaR
Immagino fosse così, però non conoscendo a fondo la gestione dei permessi su sistemi Linux non volevo peccare di presunzione.

Purtroppo flash è un formato proprietario e i player alternativi fanno pietà. Anche se HTML5 sarà meno performante, non vedo l'ora che venga implementato! Un plugin in meno e formati open.

Inoltre il supporto per i sistemi a 64bit fa ancora pena!
quella di andare a sgarfare fin nel buco dell' ozono del computer in cui viene lanciato è una caratteristica ampiamente documentata di flash (il cui linguaggio, actionscript è un "little brother" di java)

Laconicamente dico:

Big gain, big pain.
per flash basta navigare con chrome, facendolo partire con lo switch --safe-plugins così anche i plug-in gireranno protetti dalla sandbox
Oh, finalmente un bel baco imparziale.

Così (si spera) non si scateneranno le solite guerre di religione tra Windowisti/Maccari/Linari :D
Chrome nella versione 6.0.472.62 è già fixato.
@Marco Pontello

così dicono loro

quello che mi sfugge è come abbiano fatto a fixare il problema presente in un plugin
Hanno già aggiornato la data. Hanno messo "la settimana con il 7 ottobre". Si commenta da solo.
@theDRaKKaR:

Così dicono loro che si suppone sappiano quello che dicono! :)

Facezie a parte, Chrome usa il plug-in flash che si porta con sè. Infatti la versione di Flash mostrata è la 10.1.85.3, mentre l'ultima attualmente disponibile in download per Windows (e gli altri OS) è la 10.1.82.76.

Detto questo, personalmente non credo che comunque la vulnerabilità si prestasse a facili exploit, con browser e sistemi adeguatamente configurati (browser con processi separati, diritti da utente e non da admin, DEP & ALSR, etc.). Mandare in crash il plug-in Flash si, ma "fare danni" mi sembra improbabile...
@Marco

Dicevo così perché Secunia, che uso per la sicurezza, ancora non ha aggiornato il bollettino, ma anche io sono convinto che in Google sappiano quel che dicono :)

Bollettino Secunia
da http://secunia.com/advisories/41434
"Solution
Update to version 9.0.283 or 10.1.85.3."

fino al prossimo bollettino Secunia si pole stà tranquilli ! :-D
Sì, l'hanno aggiornato dopo poco il mio ultimo messaggio. Meglio così :)
Che fine ha fatto il rattoppo per Acrobat e Reader?