Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Flash Player e altri prodotti Adobe

Il 10 aprile 2018 Adobe ha rilasciato aggiornamenti di sicurezza critici per Flash Player su Windows, macOS, Linux e Chrome OS, Adobe Experience Manager su tutte le piattaforme supportate, Adobe InDesign CC su Windows e macOS, Adobe Digital Editions su Windows, macOS, iOS e Android, ColdFusion su tutte le piattaforme supportate e Adobe PhoneGap Push Plugin su tutte le piattaforme supportate. Questi aggiornamenti risolvono diverse vulnerabilità, le più gravi delle quali potrebbero consentire ad un attaccante di eseguire codice arbitrario da remoto e assumere il controllo del sistema interessato.

I dettagli delle vulnerabilità risolte da questi aggiornamenti sono i seguenti:

Adobe Flash Player

  • Una vulnerabilità critica di tipo use after free (riutilizzo di un’area di memoria già liberata) che può causare l’esecuzione di codice da remoto nel contesto dell’utente corrente (CVE-2018-4932).
  • Due vulnerabilità gravi di tipo out-of-bounds read (lettura della memoria fuori dai limiti) che possono causare la divulgazione di informazioni potenzialmente sensibili (CVE-2018-4933, CVE-2018-4934).
  • Due vulnerabilità critiche di tipo out-of-bounds write (scrittura della memoria fuori dai limiti) che possono causare l’esecuzione di codice da remoto nel contesto dell’utente corrente (CVE-2018-4935, CVE-2018-4937).
  • Una vulnerabilità grave di tipo heap overflow che può causare la divulgazione di informazioni potenzialmente sensibili (CVE-2018-4936).

Adobe Experience Manager (AEM)

  • Una vulnerabilità di tipo stored cross-site scripting in AEM 6.2 e versioni precedenti che può causare la divulgazione di informazioni sensibili (CVE-2018-4929).
  • Una vulnerabilità grave di tipo cross-site scripting in AEM 6.3 e versioni precedenti che può causare la divulgazione di informazioni sensibili (CVE-2018-4930).
  • Una vulnerabilità grave di tipo stored cross-site scripting in AEM 6.1 e versioni precedenti che può causare la divulgazione di informazioni sensibili (CVE-2018-4931).

Adobe InDesign CC

  • Una vulnerabilità grave di tipo out-of-bounds read che può causare l’elevazione dei privilegi dell’utente locale (CVE-2018-4927).
  • Una vulnerabilità critica legata ad un problema nell’analisi di un file “.inx” appositamente predisposto che può causare corruzione della memoria sfruttabile per eseguire codice arbitrario (CVE-2018-4928).

Adobe Digital Editions

  • Una vulnerabilità grave di tipo untrusted search path che può causare la divulgazione di informazioni potenzialmente sensibili (CVE-2018-4925).
  • Una vulnerabilità grave di tipo stack overflow che può causare la divulgazione di informazioni potenzialmente sensibili (CVE-2018-4926).

ColdFusion

  • Una vulnerabilità grave di tipo insecure library loading (caricamento di librerie in maniera non sicura) che può causare l’elevazione dei privilegi dell’utente locale (CVE-2018-4938).
  • Una vulnerabilità critica derivante dalla deserializzazione di dati provenienti da fonti non fidate che può causare l’esecuzione di codice da remoto (CVE-2018-4939).
  • Due vulnerabilità gravi di tipo cross-site scripting che possono causare la divulgazione di informazioni potenzialmente sensibili (CVE-2018-4940, CVE-2018-4941).
  • Una vulnerabilità critica derivante dall’elaborazione non sicura di entità esterne XML che può causare la divulgazione di informazioni potenzialmente sensibili (CVE-2018-4942).

Adobe PhoneGap Push Plugin

  • Una vulnerabilità grave di tipo Same-Origin Method Execution (SOME) che può causare l’esecuzione di codice JavaScript nel conteso dell’app PhoneGap (CVE-2018-4943).

Si raccomanda a tutti gli utenti e agli amministratori di sistema di consultare i bollettini di sicurezza di Adobe APSB18-08APSB18-10, APSB18-11, APSB18-13, APSB18-14, APSB18-15 e di scaricare ed applicare gli aggiornamenti necessari.

Gli utenti Windows, macOS, Linux e Chrome OS debbono aggiornare Adobe Flash Player alla versione 29.0.0.140 visitando la pagina di Download di Adobe Flash Player. I plug-in di Flash Player contenuti in Google Chrome, Microsoft Edge e Internet Explorer saranno aggiornati automaticamente attraverso i meccanismi di aggiornamento di questi browser.

Gli utenti di Adobe Experience Manager debbono aggiornare l’applicazione alla versione più recente disponibile per la propria piattaforma.

Gli utenti Windows e macOS debbono aggiornare Adobe InDesign CC alla versione 13.1.

Gli utenti di Adobe Digital Editions debbono aggiornare l’applicazione alla versione 4.5.8 su tutte le piattaforme supportate.

Gli utenti di ColdFusion (2016 release) debbono aggiornare l’applicazione alla Update 6 su tutte le piattaforme supportate. Gli utenti di ColdFusion 11 debbono aggiornare l’applicazione alla Update 14 su tutte le piattaforme supportate.

Gli utenti dell’app Adobe PhoneGap contenente una versione vulnerabile del plugin PhoneGap Push (versione 1.8.0 e precedenti) debbono aggiornare quest’ultimo alla versione 2.1.0 (disponibile su GitHub) su tutte le piattaforme supportate.

Notizie correlate

Aggiornamenti di sicurezza critici per Flash Player, Acrobat, Reader e altri prodotti Adobe

11 luglio 2018

Adobe ha rilasciato aggiornamenti di sicurezza per Flash Player, Adobe Acrobat e Reader, Adobe Connect e Adobe Experience Manager che risolvono vulnerabilità critiche che potrebbero causare l'esecuzione di codice arbitrario.Leggi tutto

Aggiornamento di sicurezza critico per Adobe Flash Player

8 giugno 2018

Adobe ha rilasciato un aggiornamento di sicurezza critico per Flash Player che risolve vulnerabilità che potrebbero consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe Acrobat, Reader e Photoshop CC

15 maggio 2018

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Acrobat, Adobe Reader e Adobe Photoshop CC che risolvono vulnerabilità critiche che potrebbero causare l'esecuzione di codice arbitrario.Leggi tutto