Skip to main content

Adobe patch vulnerabilità critiche in Flash Player, ColdFusion

Adobe Systems ha rilasciato aggiornamenti di sicurezza per Flash Player, AIR e ColdFusion per correggere le vulnerabilità critiche che potrebbero consentire agli aggressori di assumere il controllo dei sistemi interessati o leggere le informazioni dai server senza autorizzazione.

Gli aggiornamenti per Flash Player e Adobe AIR, un'applicazione Internet ricca runtime con supporto Flash, correggere due vulnerabilità di corruzione della memoria che potrebbero causare l'esecuzione di codice in modalità remota.

Adobe consiglia agli utenti di eseguire l'aggiornamento a Flash Player versione 11.9.900.152 per Windows e Mac e versione 11.2.202.327 per Linux. La versione di Flash Player in bundle con Google Chrome, Internet Explorer 10 su Windows 8 e Internet Explorer 11 su Windows 8.1 verrà automaticamente aggiornata tramite i meccanismi di aggiornamento di tali browser, la società ha dichiarato in un advisory.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Gli utenti Windows, Mac e Android di Adobe AIR e Adobe AIR SDK (kit di sviluppo software) devono eseguire l'aggiornamento alla versione 3.9.0.1210 di tali programmi.

Adobe ha anche rilasciato hotfix di sicurezza per le versioni 10, 9.0.2, 9.0.1 e 9.0 del server delle applicazioni ColdFusion. Queste patch risolvono una vulnerabilità critica che potrebbe consentire a utenti malintenzionati remoti e non autenticati di leggere le informazioni da un server vulnerabile e uno scripting cross-site (XSS) il cui sfruttamento richiede l'autenticazione.

I server ColdFusion sono stati presi di mira dagli aggressori in passato. A gennaio, Adobe avvertiva i clienti che gli aggressori stavano sfruttando vulnerabilità prive di patch in ColdFusion e ad aprile gli hacker hanno fatto irruzione nei server di gestione e nel database clienti di Linode, una società di hosting di server virtuale privata, sfruttando una vulnerabilità ColdFusion precedentemente sconosciuta.

Adobe non è consapevole di eventuali exploit o attacchi che stanno attivamente prendendo di mira le vulnerabilità corrette nei nuovi aggiornamenti di sicurezza e non ritiene che le vulnerabilità siano legate al furto del codice sorgente annunciato all'inizio di ottobre, ha detto la portavoce di Adobe Heather Edell via email.

Il 3 ottobre, Adobe ha annunciato che gli hacker hanno fatto irruzione nella sua rete interna e rubato il codice sorgente di Adobe Acrobat, ColdFusion, ColdFusion Builder e altri prodotti. I ricercatori della sicurezza hanno affermato che la perdita del codice sorgente potrebbe aiutare gli aggressori a trovare vulnerabilità nei prodotti interessati.