giovedì 11 dicembre 2014

Adobe day: 3 bollettini per chiudere 26 bug in Flash, Reader e Fusion


Microsoft ha rilasciato gli update di sicurezza relativi al Patch Day di dicembre e Adobe ha tappato 26 vulnerabilità critiche nei suoi software Flash, Reader, Acrobat e Fusion. Come previsto, Adobe ha patchato una vulnerabilità in Adobe Reader rivelata la scorsa settimana da Google Project Zero. Il ricercatore James Forshaw, un noto bug-hunter e membro di Project Zero, ha pubblicato i dettagli di una vulnerabilità sandbox escape in Reader e il codice exploit. Secondo la sua policy, il team di ricerca di sicurezza di Google rivela i dettagli dei bug 90 giorni dopo che li ha condiviso con il fornitore in questione.

In questo caso, la vulnerabilità è stata in precedenza parzialmente risolta da Adobe dopo che è stato segnalata in agosto. Adobe Reader è stato ottimizzato al fine di rendere lo sfruttamento della vulnerabilità molto più difficile. Il difetto segnalato dal ricercatore, però, non era stato patchato. Adobe ha rilasciato un aggiornamento per Flash Player (APSB14-27) che risolve sei vulnerabilità segnalate che interessano Flash Player per i sistemi Windows, Mac e Linux.

Questi aggiornamenti riguardano vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato e risolvono una vulnerabilità di buffer overflow dello stack-base che potrebbe provocare l'esecuzione di codice (CVE-2014-9163). Gli utenti di Adobe Flash Player runtime desktop per Windows e Macintosh devono aggiornare Adobe Flash Player 16.0.0.235. Gli utenti di  Adobe Flash Player con supporto esteso devono aggiornare Adobe Flash Player 13.0.0.259.

Gli utenti di Adobe Flash Player per Linux devono aggiornare ad Adobe Flash Player 11.2.202.425. Adobe Flash Player installato con Google Chrome, così come Internet Explorer in Windows 8.x, si aggiornerà automaticamente alla versione corrente. Per maggiori informazioni seguire le istruzioni alla pagina di aiuto http://helpx.adobe.com/it/flash-player.html. da notare che gli utenti che hanno aggiornato alla versione 15.0.0.246 non sono interessati dalla vulnerabilità.

Gli altri aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2014-0587, CVE-2014-9164). Gli aggiornamenti risolvono una vulnerabilità use-after-free che potrebbe provocare l'esecuzione di codice (CVE-2014-8443). Questi aggiornamenti per la protezione risolvono una vulnerabilità legata all'intercettazione di informazioni (CVE-2014-9162) e una vulnerabilità che potrebbe essere sfruttata per aggirare la same-origin policy (CVE-2014-0580).

Inoltre, Adobe ha rilasciato degli aggiornamenti di sicurezza che riguardano Adobe Reader e Acrobat per sistemi Windows e Macintosh. Adobe ha rilasciato un aggiornamento (APSB14-28) che affronta un totale di 20 vulnerabilità di sicurezza nei suoi prodotti Adobe Reader e Acrobat. Questi aggiornamenti riguardano alcune vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato.

Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni. Gli utenti di Adobe Reader XI (11.0.09) e versioni precedenti devono aggiornare alla versione 11.0.10. Gli utenti di Adobe Reader X (10.1.12) e versioni precedenti devono aggiornare alla versione 10.1.13. Gli utenti di Adobe Acrobat XI (11.0.09) e versioni precedenti devono aggiornare alla versione 11.0.10. Gli utenti di Adobe Acrobat X (10.1.12) e versioni precedenti devono aggiornare alla versione 10.1.13.

Questi aggiornamenti risolvono tre vulnerabilità di tipo use-after-free che potrebbero provocare l'esecuzione di codice (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165). Questi aggiornamenti risolvono una vulnerabilità di tipo integer overflow che potrebbe portare all'esecuzione di codice (CVE-2014-8449). I restanti aggiornamenti per la protezione risolvono alcune vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice

Vulnerabilità CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE -2014-8461 e CVE-2014-9158. Gli aggiornamenti risolvono una condizione di time of check to time of use (TOCTOU) che potrebbe essere sfruttata per consentire l'accesso in scrittura arbitraria al file system (CVE-2014-9150) e un'implementazione impropria di una API Javascript, che potrebbe portare alla divulgazione di informazioni (CVE-2014-8448, CVE-2014-8451).

Gli aggiornamenti risolvono una vulnerabilità nella gestione di soggetti esterni XML che potrebbe portare alla divulgazione di informazioni (CVE-2014-8452) e una vulnerabilità che potrebbe essere sfruttata per aggirare la  same-origin policy (CVE-2014-8453). Si raccomanda di installare gli aggiornamenti dal sito ufficiale di Adobe ed evitando così il download di falsi programmi che scaricano malware. Infine, Adobe ha rilasciato aggiornamenti di sicurezza rapidi (APSB14-29) per le versioni ColdFusion 11 e 10.

Questi aggiornamenti rapidi affrontano un problema di consumo delle risorse che potrebbe tradursi in una negazione del servizio (denial of service). Da notare che le versioni ColdFusion 9.x non sono interessate da questo problema (CVE-2014-9166). Contestualmente, Google Chrome ha rilasciato un aggiornamento di sicurezza (39.0.2171.95) come parte del suo processo di update del canale stabile per sostenere l'aggiornamento di sicurezza di Adobe Flash. E' possibile dare un'occhiata alla lista completa dei cambiamenti nel log di rilascio di Google Chrome che può essere trovato a questa pagina: http://goo.gl/0ODMvJ



Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...