Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Flash Player e altri prodotti Adobe (novembre 2017)

Il 14 novembre 2017 Adobe ha rilasciato aggiornamenti di sicurezza critici per Flash Player su Windows, macOS, Linux e Chrome OS, Photoshop CC su Windows e macOS, Adobe Connect su tutte le piattaforme supportate, Adobe Acrobat e Reader su Windows e macOS, Adobe DNG Converter su Windows, InDesign su Windows e macOS, Adobe Digital Editions su Windows, macOS, iOS e Android, Shockwave Player su Windows,  e Adobe Experience Manager su tutte le piattaforme supportate. Questi aggiornamenti risolvono vulnerabilità che, se sfruttate, potrebbero consentire ad un attaccante di eseguire codice arbitrario da remoto e assumere il controllo del sistema interessato.

I dettagli delle vulnerabilità risolte da questi aggiornamenti sono i seguenti:

Adobe Flash Player

Photoshop CC

  • Una vulnerabilità critica di tipo corruzione della memoria che può causare l’esecuzione di codice da remoto (CVE-2017-11303).
  • Una vulnerabilità critica di tipo use after free che può causare l’esecuzione di codice da remoto (CVE-2017-11304).

Adobe Connect

Adobe Acrobat e Reader

Adobe DNG Converter

  • Una vulnerabilità critica di tipo corruzione della memoria (CVE-2017-11295).

InDesign

  • Una vulnerabilità critica di tipo corruzione della memoria che può causare l’esecuzione di codice da remoto (CVE-2017-11302).

Adobe Digital Editions

  • Una vulnerabilità critica legata al parsing non sicuro di entità XML esterne che può causare la divulgazione di informazioni (CVE-2017-11273).
  • Vulnerabilità gravi di tipo out-of-bounds read che possono causare l’esposizione di indirizzi di memoria (CVE-2017-11297, CVE-2017-11298, CVE-2017-11299, CVE-2017-11300).
  • Una vulnerabilità grave di tipo corruzione della memoria che può causare l’esposizione di indirizzi di memoria (CVE-2017-11301).

Adobe Shockwave Player

  • Una vulnerabilità critica di tipo corruzione della memoria che può causare l’esecuzione di codice da remoto (CVE-2017-11294).

Adobe Experience Manager

  • Una vulnerabilità di tipo reflected cross-site scripting che può causare la divulgazione di informazioni (CVE-2017-3109).
  • Una vulnerabilità grave legata a token sensibili in richieste HTTP GET che può causare la divulgazione di informazioni (CVE-2017-3111).
  • Una vulnerabilità grave di tipo cross-site scripting che può causare la divulgazione di informazioni (CVE-2017-11296)

Si raccomanda a tutti gli utenti e agli amministratori di sistema di consultare i bollettini di sicurezza di Adobe APSB17-33, APSB17-34, APSB17-35, APSB17-36, APSB17-37, APSB17-38, APSB17-39, APSB17-40, APSB17-41 e di scaricare ed applicare gli aggiornamenti necessari.

Gli utenti Windows, macOS, Linux e Chrome OS debbono aggiornare Adobe Flash Player alla versione 27.0.0.187 visitando la pagina di Download di Adobe Flash Player. I plug-in di Flash Player contenuti in Google Chrome, Microsoft Edge e Internet Explorer saranno aggiornati automaticamente attraverso i meccanismi di aggiornamento di questi browser.

Gli utenti Windows e macOS debbono aggiornare Photoshop CC 2018 alla versione 19.0 (2018.0) e Photoshop CC 2017 alla versione 18.1.2 (2017.1.2).

Gli utenti di Adobe Connect debbono aggiornare l’applicazione alla versione 9.7 per tutte le piattaforme supportate.

Gli utenti Windows e macOS debbono aggiornare Adobe Acrobat DC e Reader DC, nelle distribuzioni Continuous e Classic, rispettivamente alle versioni 2018.009.20044 e 2015.006.30392, Acrobat XI e Reader XI alla versione 11.0.23, Acrobat 2017 e Reader 2017 alla versione 2017.011.30068.

Gli utenti Windows debbono aggiornare Adobe DNG Converter alla versione 10.0.

Gli utenti Windows e macOS debbono aggiornare InDesign alla versione 13.0.

Gli utenti Windows, macOS, iOS e Android debbono aggiornare Adobe Digital Editions alla versione 4.5.7.

Gli utenti Windows debbono aggiornare Adobe Shockwave Player alla versione 12.3.1.201.

Gli utenti di Adobe Experience Manager debbono aggiornare l’applicazione alla versione più recente disponibile per tutte le piattaforme supportate.

Notizie correlate

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe After Effects e Adobe Media Encoder

20 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza critici per After Effects e Media Encoder. Questi aggiornamenti risolvono due vulnerabilità che possono causare l’esecuzione di codice arbitrario.Leggi tutto

Aggiornamenti di sicurezza critici per Flash Player, Acrobat, Reader e altri prodotti Adobe

12 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza importanti e critici per Flash Player, Acrobat e Reader, Experience Manager, Framemaker e Digital Editions.Leggi tutto