Data di pubblicazione: 5 novembre 2008
Identificatore di vulnerabilità: APSB08-20
Codice CVE: CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823
Piattaforma: tutte
In Adobe Flash Player 9.0.124.0 e versioni precedenti sono state individuate possibili vulnerabilità che potrebbero consentire a un aggressore di aggirare i controlli di sicurezza di Flash Player. Adobe consiglia agli utenti di eseguire l'aggiornamento alla versione più recente di Flash Player disponibile per la piattaforma in uso. Non è richiesta alcuna azione da parte dei clienti che hanno già eseguito l'aggiornamento a Flash Player 10.0.12.36. L'aggiornamento di Flash Player 9.0.151.0 risolve i problemi già segnalati nel bollettino sulla sicurezza APSB08-18* e i problemi segnalati nel bollettino sulla sicurezza APSB08-22*, oltre ai problemi descritti nel presente bollettino sulla sicurezza.
17 novembre 2008 - Bollettino aggiornato con le informazioni relative all'aggiornamento di AIR 1.5* e al bollettino sulla sicurezza APSB08-22 *
5 novembre 2008 - Prima pubblicazione del bollettino
Adobe Flash Player 9.0.124.0 e versioni precedenti.
Per verificare il numero di versione di Adobe Flash Player, accedere alla pagina Informazioni su Flash Player, oppure fare clic con il pulsante destro del mouse sul contenuto Flash e scegliere "Informazioni su Adobe (o Macromedia) Flash Player" dal menu visualizzato. Se si utilizzano più browser, eseguire la verifica per ogni browser installato nel sistema in uso.
Adobe consiglia a tutti gli utenti di Adobe Flash Player 9.0.124.0 e versioni precedenti di eseguire l'aggiornamento alla versione più recente 10.0.12.36 scaricandola dal Centro di download di Flash Player oppure utilizzando, quando richiesto, il meccanismo di aggiornamento automatico integrato nel prodotto.
Per gli utenti che non possono effettuare l'aggiornamento a Flash Player 10, Adobe ha sviluppato una versione corretta di Flash Player 9: Flash Player 9.0.151.0, scaricabile dal seguente collegamento*.
Adobe classifica questo aggiornamento come critico a causa dei problemi già segnalati nel bollettino sulla sicurezza APSB08-18* e consiglia agli utenti interessati di passare alla versione 10.0.12.36.
Oltre ai problemi già segnalati nel bollettino sulla sicurezza APSB08-18 e nel bollettino sulla sicurezza APSB08-22*, gli aggiornamenti di Flash Player 10.0.12.36 e Flash Player 9.0.151.0 risolvono i problemi indicati di seguito.
Questo aggiornamento include una modifica al modo in cui Flash Player interpreta le intestazioni delle risposte HTTP per evitare possibili attacchi di cross-site scripting (CVE-2008-4818).
Questo aggiornamento include una modifica per ridurre un potenziale problema che potrebbe consentire a un aggressore di eseguire attacchi di tipo "DNS rebinding" (CVE-2008-4819).
Questo aggiornamento include un'interpretazione più rigida di un attributo di ActionScipt per evitare un potenziale problema di HTML injection (CVE-2008-4823).
Questo aggiornamento risolve un problema relativo all'interpretazione del file di criteri che potrebbe consentire di aggirare il criterio del dominio non radice (CVE-2008-4822).
Questo aggiornamento risolve un problema relativo all'interpretazione da parte di Flash Player del protocollo JAR: nei browser Mozilla che potrebbe provocare la divulgazione di informazioni (CVE-2008-4821).
Questo aggiornamento risolve un potenziale problema di divulgazione delle informazioni solo per i sistemi Windows nel controllo ActiveX di Flash Player (CVE-2008-4820).
Software interessati |
Aggiornamento consigliato |
Disponibilità |
Flash Player 9.0.124.0 e versioni precedenti |
10.0.12.36 |
|
Flash Player 9.0.124.0 e versioni precedenti (distribuzione in rete) |
10.0.12.36 |
|
Flash Player 9.0.124.0 e versioni precedenti per Linux |
10.0.12.36 |
|
AIR 1.1 |
AIR 1.5 |
|
Flash CS4 Professional |
10.0.12.36 |
Aggiornamento di Adobe Flash Player 10 per Flash CS4 Professional* |
Flex 3 |
10.0.12.36 |
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
