Data di pubblicazione: 15 ottobre 2008
Identificatore di vulnerabilità: APSB08-18
Codice CVE: CVE-2007-6243, CVE-2008-3873, CVE-2008-4324, CVE-2008-4401, CVE-2007-4503
Piattaforme: tutte
In Adobe Flash Player 9.0.124.0 e versioni precedenti sono state individuate possibili vulnerabilità che potrebbero consentire a un aggressore di aggirare i controlli di sicurezza di Flash Player. Adobe consiglia agli utenti di eseguire l'aggiornamento alla versione più recente di Flash Player disponibile per la piattaforma in uso. Poiché questi miglioramenti e modifiche alla sicurezza possono influire sui contenuti esistenti, si consiglia ai clienti di consultare questo articolo disponibile nell'Adobe Developer Center* per stabilire se i loro contenuti verranno influenzati e iniziare a implementare subito le modifiche necessarie per garantire una migrazione uniforme.
Questo aggiornamento risolve un problema già segnalato nel bollettino sulla sicurezza APSA08-08*.
Adobe Flash Player 9.0.124.0 e versioni precedenti.
Per verificare il numero di versione di Adobe Flash Player, accedere alla pagina Informazioni su Flash Player oppure fare clic con il pulsante destro del mouse sul contenuto Flash e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato nel sistema in uso.
Adobe consiglia a tutti gli utenti di Adobe Flash Player 9.0.124.0 e versioni precedenti di eseguire l'aggiornamento alla nuova versione 10.0.12.36 scaricandola dal Centro di download di Flash Player oppure utilizzando, quando richiesto, il meccanismo di aggiornamento automatico integrato nel prodotto. All'inizio di novembre Adobe fornirà un aggiornamento per Flash Player 9 per i clienti che non possono passare a Flash Player 10. Questo bollettino sulla sicurezza verrà aggiornato dopo che l'aggiornamento di Flash Player 9 sarà disponibile.
Adobe classifica questo aggiornamento come critico* e consiglia agli utenti interessati di eseguire l'aggiornamento alla versione 10.0.12.36.
Poiché questi miglioramenti e modifiche alla sicurezza possono influire sui contenuti Flash esistenti, si consiglia ai clienti di consultare questo articolo disponibile nell'Adobe Developer Connection* per stabilire se i loro contenuti verranno influenzati e iniziare a implementare subito le modifiche necessarie per garantire una migrazione uniforme.
Questo aggiornamento risolve un potenziale problema di "clickjacking" in Flash Player. Il clickjacking è un problema che coinvolge più browser web e che può consentire a un aggressore di invitare un utente di un browser a fare clic inconsapevolmente su un collegamento o una finestra di dialogo. Questo aggiornamento consente di impedire un attacco di clickjacking su una webcam e un microfono di un utente di Flash Player. (CVE-2008-4503)
Questo aggiornamento include ulteriori modifiche che migliorano l'interpretazione di file di criteri tra domini diversi in Flash Player. Le modifiche consentono di impedire attacchi di acquisizione illecita di privilegi perpetrati contro server web che ospitano contenuti Flash e file di criteri di domini diversi. Per ulteriori informazioni, consultare la sezione seguente* dell'articolo sulle modifiche alla sicurezza di Adobe Flash Player 10 disponibile in Adobe Developer Connection. (CVE-2007-6243)
Questo aggiornamento riduce i rischi legati a un potenziale problema di scansione delle porte. Per ulteriori informazioni, consultare il seguente articolo dell'Adobe Developer Connection*. (CVE-2007-4324)
Questo aggiornamento introduce modifiche all'API degli Appunti per impedire possibili attacchi agli Appunti. Per ulteriori informazioni, consultare la sezione seguente* dell'articolo sulle modifiche alla sicurezza di Adobe Flash Player 10 disponibile nell'Adobe Developer Center. (CVE-2008-3873)
Questo aggiornamento introduce modifiche alle API di caricamento e scaricamento di FileReference per richiedere l'interazione con l'utente. Per ulteriori informazioni, consultare la sezione seguente* dell'articolo sulle modifiche alla sicurezza di Adobe Flash Player 10 disponibile in Adobe Developer Connection. (CVE-2008-4401)
All'inizio di novembre Adobe fornirà un aggiornamento per Flash Player 9 per i clienti che non possono passare a Flash Player 10. Questo bollettino sulla sicurezza verrà aggiornato dopo che l'aggiornamento di Flash Player 9 sarà disponibile. Tutte le vulnerabilità della sicurezza documentate e le relative soluzioni vengono diffuse mediante il servizio di notifica sulla sicurezza di Adobe. È possibile iscriversi a questo servizio al seguente URL: http://www.adobe.com/cfusion/entitlement/index.cfm?e=szalert*. Gli utenti possono controllare le informazioni aggiornate sul blog di Adobe Product Security Incident Response Team al seguente URL: http://blogs.adobe.com/psirt*.
Software interessati |
Aggiornamento consigliato |
Disponibilità |
Flash Player 9.0.124.0 e versioni precedenti |
10.0.12.36 |
|
Flash Player 9.0.124.0 e versioni precedenti (distribuzione in rete) |
10.0.12.36 |
|
Flash Player 9.0.124.0 e versioni precedenti per Linux |
10.0.12.36 |
Adobe desidera ringraziare Robert Hansen di SecTheory* e Jeremiah Grossman di WhiteHat Security*, Eduardo Vela*, Matthew Mastracci di DotSpots* e Liu Die Yu di TopsecTianRongXin* per aver segnalato la vulnerabilità di clickjacking, contribuendo così a proteggere la sicurezza dei nostri clienti. (CVE-2008-4503)
Adobe desidera ringraziare Fukami di SektionEins per aver segnalato il problema di scansione delle porte. (CVE-2007-4324)
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti. Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.
