Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Adobe Flash Player

adobe  flash player  remote code execution   venerdì, 8 giugno 2018

Il 7 giugno 2018 Adobe ha rilasciato un aggiornamento di sicurezza che risolve quattro vulnerabilità, di cui due critiche, in Flash Player su Windows, macOS, Linux e Chrome OS. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero causare l’esecuzione di codice arbitrario da remoto.

I dettagli delle vulnerabilità risolte da questo aggiornamento sono i seguenti:

  • Una vulnerabilità critica di tipo type confusion che può causare l’esecuzione di codice arbitrario nel contesto dell’utente corrente (CVE-2018-4945).
  • Una vulnerabilità grave di tipo integer overflow che può causare la divulgazione di informazioni (CVE-2018-5000).
  • Una vulnerabilità grave di tipo out-of-bounds read (lettura della memoria fuori dai limiti) che può causare la divulgazione di informazioni (CVE-2018-5001).
  • Una vulnerabilità critica di tipo stack-based buffer overflow che può causare l’esecuzione di codice arbitrario nel contesto dell’utente corrente (CVE-2018-5002).

Secondo quanto riportato da Adobe, la vulnerabilità CVE-2018-5002 sarebbe attualmente sfruttata in-the-wild in attacchi mirati di portata limitata ai danni di utenti Windows. Il vettore di attacco è rappresentato da documenti Microsoft Office distribuiti via Email contenenti oggetti Flash malevoli appositamente predisposti.

Si raccomanda a tutti gli utenti e agli amministratori di sistema di consultare il bollettino di sicurezza di Adobe APSB18-19 e di scaricare ed applicare gli aggiornamenti necessari.

Gli utenti Windows e macOS, Linux debbono aggiornare Adobe Flash Player alla versione 30.0.0.113 visitando la pagina di Download di Adobe Flash Player. I plug-in di Flash Player contenuti in Google Chrome, Microsoft Edge e Internet Explorer saranno aggiornati automaticamente attraverso i meccanismi di aggiornamento di questi browser.

Notizie correlate

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2.Leggi tutto

Aggiornamenti di sicurezza per Moodle (settembre 2018)

17 settembre 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Vulnerabilità multiple in PHP

14 settembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto