Data di pubblicazione: 10 luglio 2007
Identificatore di vulnerabilità: APSB07-12
Codice CVE: CVE-2007-3456, CVE-2007-3457, CVE-2007-2022
Piattaforme: tutte
In Adobe Flash Player sono state individuate alcune importanti vulnerabilità che potrebbero consentire a eventuali aggressori di assumere il controllo del sistema interessato. Gli aggressori possono sfruttare tali vulnerabilità se l'utente carica inavvertitamente in Flash Player un file SWF dannoso. È pertanto consigliabile eseguire l'aggiornamento all'ultima versione di Flash Player disponibile per la piattaforma in uso.
Adobe Flash Player 9.0.45.0 e versioni precedenti, 8.0.34.0 e versioni precedenti, 7.0.69.0 e versioni precedenti.
Per verificare il numero di versione di Adobe Flash Player, accedere alla pagina Informazioni su Flash Player oppure fare clic con il pulsante destro del mouse sul contenuto Flash e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato nel sistema in uso.
Adobe consiglia a tutti gli utenti di Adobe Flash Player 9.0.45.0 e versioni precedenti di eseguire l'aggiornamento alla versione 9.0.47.0 (Win, Mac, Solaris) o 9.0.48.0 (Linux), scaricandola dal Centro di download di Flash Player oppure utilizzando, quando richiesto, il meccanismo di aggiornamento automatico integrato nel prodotto.
Per gli utenti che non possono eseguire l'aggiornamento ad Adobe Flash Player 9, è stata sviluppata una versione corretta di Flash Player 7. Per informazioni, consultare la nota tecnica sull'aggiornamento di Flash Player.
Adobe classifica questo problema come grave e consiglia agli utenti interessati di eseguire l'aggiornamento alla versione 9.0.47.0 (Win, Mac, Solaris) o 9.0.48.0 (Linux).
In Adobe Flash Player 9.0.45.0 e versioni precedenti sono stati rilevati vari errori di convalida dell'input che potrebbero provocare l'esecuzione di codice arbitrario. Tale vulnerabilità potrebbe essere attivata attraverso il contenuto scaricato da un percorso remoto tramite un browser web, un client di posta elettronica o altre applicazioni che includono o fanno riferimento a Flash Player. (CVE-2007-3456)
In Flash Player 8.0.34.0 e versioni precedenti è stato individuato un problema di convalida insufficiente dell'HTTP Referer. Questo problema non riguarda Flash Player 9. Questo problema potrebbe consentire a eventuali aggressori di operare attacchi di tipo CSRF (cross-site request forgery), ovvero di inviare richieste o comandi non autorizzati a contenuti dannosi utilizzando le credenziali dell'utente all'insaputa di quest'ultimo. (CVE-2007-3457)
Gli aggiornamenti di Flash Player 7 (7.0.70.0) per Linux e Solaris consentono di risolvere i problemi relativi a Flash Player e ai browser Opera e Konqueror descritti nell'avviso sulla sicurezza APSA07-03. Tali problemi non riguardano Flash Player 9 nei sistemi Linux o Solaris. (CVE-2007-2022)
| Software interessati | Aggiornamento consigliato | Disponibilità |
|---|---|---|
| Flash Player 9.0.45.0 e versioni precedenti | 9.0.47.0 | Centro di download di Flash Player |
| Flash Player 9.0.45.0 e versioni precedenti (distribuzione in rete) | 9.0.47.0 | Licenze |
| Flash Player 9.0.45.0 e versioni precedenti per Linux | 9.0.48.0 | Centro di download di Flash Player |
| Flash CS3 Professional | 9.0.47.0 | Aggiornamento Flash Player 9 per Flash CS3 Professional |
| Flash Professional 8, Flash Basic | 8.0.35.0 | Aggiornamento Flash Player 8 per Flash Professional 8 e Flash Basic |
| Flex 2.0 | 9.0.47.0 | Aggiornamento della versione di debug di Flash Player |
Adobe desidera ringraziare Stefano Di Paola, Elia Florio e Giorgio Fedon per aver segnalato l'errore di convalida dell'input (CVE-2007-3456), contribuendo così a proteggere la sicurezza dei nostri clienti.
Adobe desidera ringraziare Daiki Fukumori di Secure Sky Technology, Inc. per aver segnalato la vulnerabilità relativa all'HTTP Referer (CVE-2007-3457), contribuendo così a proteggere la sicurezza dei nostri clienti.
Adobe desidera ringraziare Mark Hills per aver segnalato i problemi relativi a Flash Player e ai browser Opera e Konqueror descritti in precedenza nell'avviso sulla sicurezza APSA07-03 (CVE-2007-2022), contribuendo così insieme a Opera a proteggere la sicurezza dei nostri reciproci clienti.
10 luglio 2007 - Creazione del bollettino sulla sicurezza.
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.
