Attraverso il rilascio del Security Adivisory APSA 10-05, Adobe ha segnalato la scoperta di una nuova vulnerabilità critica:
● in Adobe Flash Player 10.1.85.3 e versioni precedenti per: Windows, Macintosh, Linux e sistemi operativi Solaris;
● in Adobe Flash Player 10.1.95.2 e versioni precedenti per: Android;
● nel componente authplay.dll che viene fornito con Adobe Reader 9.4 e versioni precedenti 9.x per: Windows, Macintosh e sistemi operativi UNIX;
● in Adobe Acrobat 9.4 e versioni precedenti 9.x per: Windows e Macintosh.
La vulnerabilità (CVE-2010-3654) potrebbe causare crash di sistema e, se opportunamente sfruttata, potrebbe consentire ad un malintenzionato di assumere da remoto il controllo del sistema colpito.
Allo stato, risulta che:
● la vulnerabilità critica in questione viene attivamente sfruttata nei confronti di Adobe Reader 9.x e Adobe Acrobat 9.x (ciò significa che, in rete, gira già un exploit predisposto per sfruttarla);
● attualmente, non si è a conoscenza di attacchi diretti, sfruttando la vulnerabilità in Adobe Flash Player.
Adobe precisa, di essere al lavoro per:
● predisporre una patch risolutiva del problema, attraverso il riliascio, a partire dal 9 novembre 2010, di un aggiornamento per Adobe Flash Player 10.x per: Windows, Macintosh, Linux e Android;
● rilasciare, a partire dal 15 novembre prossimo, un aggiornamento per Adobe Reader 9.4 e Adobe Acrobat 9.4 e versioni precedenti 9.x.
Registrazione