amdplanet.it

In Flash 9.x/10.0.x per Windows, Mac OS X e Unix e nelle versioni per Windows di Adobe Reader 9.x, Adobe Acrobat 9.x si cela una pericolosa vulnerabilità di sicurezza zero-day. A suonare il campanello di allarme è stata la stessa Adobe, che in questo recente advisory afferma che la falla "può causare un crash e potenzialmente consentire a un aggressore di prendere il controllo di un sistema vulnerabile".
A rendere il problema ancor più urgente c'è il fatto che, secondo Adobe, il bug viene già correntemente sfruttato. In Windows il principale vettore di attacco è costituito dai file PDF: di conseguenza, gli esperti di sicurezza raccomandano agli utenti di aprire solo i documenti PDF provenienti da fonti conosciute e attendibili.
Sebbene l'origine della vulnerabilità sia in Flash, Adobe Reader e Acrobat 9.x per Windows sono interessati dal problema per via del componente authplay.dll, utilizzato per riprodurre i contenuti Flash inglobati all'interno di un file PDF. Uno dei workaround suggeriti da Adobe è proprio quello di cancellare, rinominare o spostare temporaneamente la succitata libreria dinamica, generalmente localizzata all'interno della cartella di installazione di Adobe Reader e Acrobat: è bene però sapere che, facendo questo, ogniqualvolta si aprirà un file PDF contenente oggetti Flash l'applicazione (Acrobat o Reader) andrà in crash.
Adobe ha appurato che la recente release candidate di Flash 10.1 e le versioni 8.x di Reader/Acrobat sono immuni al problema. Dal momento che la RC1 è una versione quasi finale di Flash 10.1, chi non desidera attendere la patch di Adobe - di cui peraltro non è ancora nota la data di rilascio - può eventualmente azzardare un aggiornamento anticipato di Flash Player.