Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Adobe Flash Player e ColdFusion (settembre 2017)

adobe  ColdFusion  flash player   mercoledì, 13 settembre 2017

Il 12 settembre 2017 Adobe ha rilasciato aggiornamenti di sicurezza critici per Flash Player su Windows, macOS, Linux e Chrome OS e ColdFusion su tutte le piattaforme supportate. Questi aggiornamenti risolvono vulnerabilità che, se sfruttate, potrebbero consentire ad un attaccante di eseguire codice arbitrario da remoto e assumere il controllo del sistema interessato.

Adobe ha anche rilasciato un aggiornamento che risolve due vulnerabilità, di cui una  di gravità elevata, in RoboHelp su Windows.

I dettagli delle vulnerabilità risolte da questi aggiornamenti sono i seguenti:

Adobe Flash Player

  • Una vulnerabilità critica di tipo corruzione della memoria che può causare l’esecuzione di codice da remoto (CVE-2017-11281).
  • Una vulnerabilità critica di tipo corruzione della memoria che può causare l’esecuzione di codice da remoto (CVE-2017-11282).

ColdFusion

  • Una vulnerabilità critica legata ad un problema nella restrizione delle sorgenti di entità XML esterne che può causare la divulgazione di informazioni (CVE-2017-11286).
  • Una vulnerabilità grave legata ad un problema nella neutralizzazione dell’input durante la generazione di pagine Web (cross-site scripting) che può causare la divulgazione di informazioni (CVE-2017-11285).
  • Vulnerabilità critiche legate alla deserializzazione di dati provenienti da sorgenti non fidate che possono causare l’esecuzione di codice da remoto (CVE-2017-11283, CVE-2017-11284).

RoboHelp

  • Una vulnerabilità grave legata ad un problema nella neutralizzazione dell’input durante la generazione di pagine Web che può essere sfruttata per attacchi cross-site scripting basati sul DOM (CVE-2017-3104).
  • Una vulnerabilità legata ad un problema nella neutralizzazione dell’input durante la generazione di pagine Web che può essere sfruttata per attacchi open redirect (CVE-2017-3105).

Si raccomanda a tutti gli utenti e agli amministratori di sistema di consultare i bollettini di sicurezza di Adobe APSB17-28, APSB17-30, APSB17-25 e di scaricare ed applicare gli aggiornamenti necessari.

Gli utenti Windows, macOS, Linux e Chrome OS debbono aggiornare Adobe Flash Player alla versione 27.0.0.130 visitando la pagina di Download di Adobe Flash Player. I plug-in di Flash Player contenuti in Google Chrome, Microsoft Edge e Internet Explorer saranno aggiornati automaticamente attraverso i meccanismi di aggiornamento di questi browser.

Gli utenti di ColdFusion (2016 release) debbono aggiornare l’applicazione alla versione Update 5. Gli utenti di ColdFusion 11 debbono aggiornare l’applicazione alla versione Update 13.

Gli utenti di RoboHelp debbono aggiornare l’applicazione alla versione RH2017.0.2 o alla versione RH12.0.4.460 (Hotfix).

Notizie correlate

Aggiornamenti di sicurezza critici per Flash Player e altri prodotti Adobe (agosto 2017)

21 agosto 2017

Adobe ha rilasciato aggiornamenti di sicurezza critici per Flash Player, Adobe Acrobat e Reader e Adobe Digital Editions che risolvono vulnerabilità che potrebbero consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per Adobe Flash Player e Adobe Connect

12 luglio 2017

Adobe ha rilasciato un aggiornamento di sicurezza critico per Flash Player e un aggiornamento importante per Adobe Connect. L'aggiornamento di Flash risolve una vulnerabilità critica che potrebbe consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza critici per Flash Player e altri prodotti Adobe (giugno 2017)

14 giugno 2017

Adobe ha rilasciato aggiornamenti di sicurezza critici per Flash Player, Shockwave Player e Adobe Digital Editions che risolvono vulnerabilità che potrebbero consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto