Video: Как установить / включить / отключить Adobe Flash Player в браузере Mozilla Firefox (Novembre 2024)
Le due vulnerabilità zero-day, CVE 2013-0643 e CVE 2013-0648, sono state sfruttate in attacchi mirati in cui gli utenti sono stati indotti a fare clic su un collegamento a un sito Web che ospita file Flash dannosi, ha dichiarato Adobe nel suo avviso di sicurezza rilasciato martedì. La società non ha accreditato alcuna organizzazione o ricercatore che abbia riscontrato le vulnerabilità zero-day, ma ha accreditato IBM X-force per aver segnalato il terzo problema di sicurezza.
Anche i tecnici della sicurezza di Adobe alla conferenza RSA hanno rifiutato di fornire ulteriori informazioni.
"L'exploit per Cve 2013-0643 e CVE 2013-0648 è progettato per indirizzare il browser Firefox", ha affermato Adobe nell'advisory.
Gli aggressori potrebbero innescare le vulnerabilità causando il crash di Flash Player e ottenere il controllo remoto del computer, ha affermato Adobe. I bug zero-day sono correlati a un problema di autorizzazioni con la sandbox di Flash Player Firefox e un difetto nella funzione ActionScript ExternalInterface, che può essere sfruttato per eseguire codice dannoso. Il terzo bug, attualmente non ancora sfruttato, era una vulnerabilità di overflow del buffer in un servizio broker di Flash Player e poteva essere utilizzato per eseguire codice dannoso, ha affermato Adobe.
L'aggiornamento interessa tutte le versioni di Flash su Windows, Mac OS X e Linux. Gli utenti possono scaricare l'ultima versione dal sito Web di Adobe o attivare gli aggiornamenti in background e consentire al software di acquisire automaticamente la versione. Google e Microsoft aggiorneranno Flash su Chrome e Internet Explorer 10 (per Windows 8) separatamente.
Questo aggiornamento Flash è la seconda patch fuori banda per Flash Player questo mese, la terza patch Adobe nel mese di febbraio e la quarta patch rilasciata nel 2013 finora.
È passato quasi un anno da quando Adobe ha attivato gli aggiornamenti automatici per Flash e Reader e il tasso di aggiornamento è stato eccezionale, Brad Arkin, direttore senior per la sicurezza e la privacy di Adobe, ha dichiarato a SecurityWatch alla conferenza RSA. Il modello precedente in cui agli utenti veniva richiesto di scaricare gli ultimi aggiornamenti non era sufficiente per convincere gli utenti a patchare Flash Player, ha affermato Arkin. Con il passaggio agli aggiornamenti in background, il tasso di successo è stato significativo.
Per vedere tutti i post della nostra copertura RSA, controlla la nostra pagina Show Reports.