Data di pubblicazione: 30 luglio 2009
Ultimo aggiornamento: 3 agosto 2009
Identificatore di vulnerabilità: APSB10-09
Codice CVE: CVE-2009-1862, CVE-2009-0901, CVE-2009-2495, CVE-2009-2493, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Piattaforma: tutte
Nelle versioni correnti di Adobe Flash Player (v. 9.0.159.0 e 10.0.22.87) per i sistemi operativi Windows, Macintosh, Linux e Solaris e nel componente authplay.dll fornito con Adobe Reader e Acrobat 9.x per Windows, Macintosh e UNIX sono state individuate vulnerabilità critiche. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Adobe consiglia agli utenti di Adobe Flash Player 9.x, 10.x e versioni precedenti di eseguire l'aggiornamento ad Adobe Flash Player 9.0.246.0 e 10.0.32.18.Adobe consiglia agli utenti di Adobe AIR 1.5.1 e versioni precedenti di eseguire l'aggiornamento ad Adobe AIR 1.5.2. Adobe consiglia agli utenti di Adobe Reader 9 e Acrobat 9 e versioni precedenti di eseguire l'aggiornamento ad Adobe Reader 9.1.3 e Acrobat 9.1.3.
Nota: in conseguenza di questo aggiornamento di emergenza per Adobe Reader e Acrobat, Adobe prevede di rilasciare il prossimo aggiornamento di sicurezza trimestrale per Adobe Reader e Acrobat in data 13 ottobre.
Adobe Flash Player 9.0.159.0 e 10.0.22.87 e versioni 9.x e 10.x precedenti
Per verificare il numero di versione di Adobe Flash Player, accedere alla pagina Informazioni su Flash Player, oppure fare clic con il pulsante destro del mouse sul contenuto Flash e scegliere "Informazioni su Adobe (o Macromedia) Flash Player" dal menu visualizzato. Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul sistema in uso.
Adobe AIR 1.5.1 e versioni precedenti
Adobe Reader e Acrobat 9.1.2 e versioni 9.x precedenti
Adobe Flash Player
Adobe consiglia a tutti gli utenti di Adobe Flash Player 10.0.22.87 e versioni precedenti di eseguire l'aggiornamento alla versione più recente 10.0.32.18, scaricandola dal Centro di download di Flash Player* oppure utilizzando, quando richiesto, il meccanismo di aggiornamento automatico integrato nel prodotto.
Per gli utenti che non sono in grado di eseguire l'aggiornamento ad Adobe Flash Player 10, Adobe ha sviluppato una versione corretta di Adobe Flash Player 9, Adobe Flash Player 9.0.246.0, che può essere scaricata al seguente indirizzo: http://www.adobe.com/support/flashplayer/downloads.html#fp9.
Adobe AIR
Adobe consiglia a tutti gli utenti di Adobe AIR 1.5.1 e versioni precedenti di eseguire l'aggiornamento alla versione più recente 1.5.2, scaricandola dal Centro di download di Adobe AIR.
Adobe Reader
Agli utenti che scaricano il programma di installazione completo 9.1 dal sito http://get.adobe.com/it/reader/ verrà offerta la patch per Adobe Reader 9.1.3 al primo avvio del programma tramite la tecnologia Adobe Updater. Per verificare che l'installazione in uso sia stata corretta e completamente aggiornata, è inoltre possibile fare clic su "? > Ricerca aggiornamenti". In alternativa, è possibile applicare manualmente l'aggiornamento 9.1.3 tramite la sezione dedicata agli aggiornamenti di prodotto del nostro sito web.
Gli utenti di Adobe Reader per Windows possono trovare l'aggiornamento appropriato al seguente indirizzo: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.
Gli utenti di Adobe Reader su Macintosh possono trovare l'aggiornamento appropriato al seguente indirizzo: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.
Gli utenti di Adobe Reader su UNIX possono trovare l'aggiornamento appropriato al seguente indirizzo: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix.
Acrobat
Gli utenti di Acrobat Standard e Pro per Windows possono trovare l'aggiornamento appropriato qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Gli utenti di Acrobat Pro Extended su Windows possono trovare l'aggiornamento appropriato al seguente indirizzo: http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows.
Gli utenti di Acrobat Pro per Macintosh possono trovare l'aggiornamento appropriato al seguente indirizzo:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe classifica questo problema come critico e consiglia agli utenti interessati di applicare le patch relative alle installazioni in uso.
Nelle versioni correnti di Adobe Flash Player (v. 9.0.159.0 e 10.0.22.87) per i sistemi operativi Windows, Macintosh, Linux e Solaris e nel componente authplay.dll fornito con Adobe Reader e Acrobat 9.x per Windows, Macintosh e UNIX sono state individuate vulnerabilità critiche. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Adobe consiglia agli utenti di Adobe Flash Player 9.x, 10.x e versioni precedenti di eseguire l'aggiornamento ad Adobe Flash Player 9.0.246.0 e 10.0.32.18. Adobe consiglia agli utenti di Adobe AIR 1.5.1 e versioni precedenti di eseguire l'aggiornamento ad Adobe AIR 1.5.2. Adobe consiglia agli utenti di Adobe Reader 9 e Acrobat 9 e versioni precedenti di eseguire l'aggiornamento ad Adobe Reader 9.1.3 e Acrobat 9.1.3.
L'aggiornamento per Adobe Flash Player e Adobe AIR, Adobe Reader e Acrobat risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice da remoto (CVE-2009-1862).
L'aggiornamento per Adobe Flash Player risolve la vulnerabilità della versione della libreria Microsoft ATL (Active Template Library) descritta nell'avviso sulla sicurezza pubblicato da Microsoft (973882)*. Tale vulnerabilità potrebbe consentire ad eventuali aggressori di assumere il controllo del sistema interessato (CVE-2009-0901, CVE-2009-2495, CVE-2009-2493).
L'aggiornamento per Adobe Flash Player risolve una vulnerabilità di acquisizione illecita di privilegi che potrebbe consentire ad eventuali aggressori con accesso al computer di ottenere privilegi amministrativi sui sistemi operativi Macintosh (CVE-2009-1863).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità di overflow dell'heap che potrebbe provocare l'esecuzione di codice da remoto (CVE-2009-1864).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità relativa ai puntatori null che potrebbe provocare l'esecuzione di codice da remoto (CVE-2009-1865).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità di overflow dello stack che potrebbe provocare l'esecuzione di codice da remoto (CVE-2009-1866).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità di "clickjacking" in più browser che potrebbe consentire ad un aggressore di invitare un utente di un browser a fare clic inconsapevolmente su un collegamento o una finestra di dialogo (CVE-2009-1867).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità di overflow dell'heap di analisi degli URL che potrebbe provocare l'esecuzione di codice da remoto (CVE-2009-1868).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità di overflow di intero che potrebbe provocare l'esecuzione di codice da remoto (CVE-2009-1869).
L'aggiornamento per Adobe Flash Player e Adobe AIR risolve una vulnerabilità del sandbox locale che potrebbe provocare la divulgazione di informazioni in caso di salvataggio di file SWF sull'unità disco rigido (CVE-2009-1870).
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
3 agosto 2009 - Aggiornamento del bollettino con la comunicazione della disponibilità di aggiornamenti per Adobe Flash Player 9 e 10 per Solaris.
31 luglio 2009 - Aggiornamento del bollettino con le informazioni sugli aggiornamenti per Adobe Reader e Acrobat e con il collegamento corretto per il download di Adobe Flash Player 9.
30 luglio 2009 - Prima pubblicazione del bollettino.
