venerdì 11 settembre 2015

Adobe rilascia patch critiche per chiudere vulnerabilità in Shockwave


In occasione del tradizionale Patch day di settembre, Microsoft ha rilasciato 12 bollettini per risolvere 56 vulnerabilità che affliggono diversi suoi prodotti. Due degli aggiornamenti sono contrassegnati come "opzionali", pertanto, devono essere installati manualmente. Il più corposo aggiornamento risolve 17 vulnerabilità in Internet Explorer e colpisce quasi tutte le versioni del browser Microsoft, da IE7 su Windows Server 2008 a IE11 nel corrente Windows 10. Anche Adobe ha rilasciato due patch di sicurezza che risolvono vulnerabilità nel suo prodotto Shockwave Player.

Adobe ha rilasciato l'aggiornamento di sicurezza APSB15-22 che risolve vulnerabilità critiche in Adobe Shockwave Player che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato. L'aggiornamento risolve diverse vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2015-6680, CVE-2015-6681). Adobe consiglia agli utenti di Adobe Shockwave Player 12.1.9.160 e versioni precedenti l'aggiornamento ad Adobe Shockwave Player 12.2.0.162 visitando l'Adobe Shockwave Player Download Center

Siccome Adobe Shockwave Player ha una quota di mercato del 41% rispetto al 99% di Flash, e funziona solo su Windows, il numero di potenziali vittime è molto più piccolo rispetto agli utenti di Flash Player. Anche se Adobe non è a conoscenza di eventuali exploit che prendono di mira le vulnerabilità in oggetto, gli utenti sono invitati ad aggiornare le loro installazioni di Adobe Shockwave Player nel più breve tempo possibile. Adobe desidera ringraziare Tongbo Luo di Palo Alto Networks per aver segnalato questi bug e per lavorare con Adobe per proteggere i clienti. 

L'aggiornamento per la protezione di Shockwave Player è il quarto di una recente serie di rilasci che Adobe ha spinto nel corso degli ultime settimane, nel tentativo di risolvere le falle di sicurezza nei suoi prodotti. Nel mese di luglio, Adobe ha rilasciato patch per risolvere tre vulnerabilità zero-day in Flash Player che sono state trovate nei dati pubblicati on-line dopo l'intrusione ai server di HackingTeam. A tal proposito, il gruppo di cyberspionaggio "Darkhotel" ha cominciato ad utilizzare per i propri scopi i tool che l'azienda forniva ai suoi clienti per mettere a segno i loro attacchi.

In data 11 agosto, la società ha rilasciato le versioni aggiornate di Adobe Flash Player e AIR SDK per far fronte a 34 vulnerabilità che interessano i sistemi Windows, Mac e Linux.  Una settimana dopo, il 18 agosto, l'azienda ha rilasciato un hotfix di sicurezza per LiveCycle Data Services che risolve un problema associato all'analisi di entità in XML.  Alla fine di agosto, Adobe ha spinto un hotfix per la piattaforma di sviluppo ColdFusion, volta ad affrontare una vulnerabilità importante nel prodotto. La falla potrebbe essere sfruttata per compromettere la sicurezza dei dati sui sistemi interessati.


Nessun commento:

Posta un commento