Adobe risolve una critica vulnerabilità in Flash Player

Adobe risolve una critica vulnerabilità in Flash Player

Adobe ha corretto una vulnerabilità critica di esecuzione di codice arbitrario in Flash Player. Questo è l'unico difetto risolto dal gigante del software in questo Patch Tuesday.

La vulnerabilità, rilevata come CVE-2020-9746, è stata descritta come un problema di dereferenziazione del puntatore NULL.

"Il successo dello sfruttamento potrebbe portare a un arresto anomalo sfruttabile, con conseguente potenziale esecuzione di codice arbitrario nel contesto dell'utente corrente", ha spiegato Adobe nel suo avviso .

L'azienda ha notato che lo sfruttamento della vulnerabilità richiede che l'autore dell'attacco inserisca stringhe dannose in una risposta HTTP fornita per impostazione predefinita tramite TLS, il che rende più difficile condurre un attacco.

Adobe ha patchato CVE-2020-9746 con il rilascio di Flash Player 32.0.0.445 per Windows, macOS, Linux e Chrome OS.

L'azienda afferma che non ci sono prove che la vulnerabilità sia stata sfruttata per scopi dannosi e, sebbene il bug sia stato classificato come critico , Adobe gli ha assegnato un punteggio di priorità 2, il che significa che non si aspetta che venga sfruttato a breve .

"Come accade in genere per le vulnerabilità di Flash Player, lo sfruttamento basato sul Web è il vettore principale di sfruttamento, ma non l'unico. Queste vulnerabilità possono anche essere sfruttate tramite un controllo ActiveX incorporato in un documento di Microsoft Office o qualsiasi applicazione che utilizzi il motore di rendering di IE", ha dichiarato a SecurityWeek Nick Colyer, responsabile marketing senior di Automox .

Colyer ha aggiunto:

"Come best practice per la sicurezza, la riparazione dei vettori di minacce comunemente sfruttabili o ricorrenti è sempre fortemente incoraggiata. Per le organizzazioni che non sono in grado di rimuovere Adobe Flash a causa di una funzione critica per l'azienda, si consiglia di mitigare il potenziale di minaccia di queste vulnerabilità impedendo l'esecuzione del tutto di Adobe Flash Player tramite la funzione killbit, impostare un criterio di gruppo per disattivare la creazione di istanze di oggetti Flash oppure limita le impostazioni del centro di protezione che richiedono elementi di script attivi".

Flash Player raggiungerà la fine del supporto il 31 dicembre e non riceverà più aggiornamenti di sicurezza. I produttori di browser hanno iniziato ad agire e Microsoft ha recentemente annunciato che Flash verrà rimosso dal nuovo browser Edge entro gennaio 2021.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.