Data di pubblicazione: 10 giugno 2010
Ultimo aggiornamento: 10 giugno 2010
Identificatore di vulnerabilità: APSB10-14
Codici CVE: CVE-2008-4546, CVE-2009-3793, CVE-2010-1297, CVE-2010-2160, CVE-2010-2161, CVE-2010-2162, CVE-2010-2163, CVE-2010-2164, CVE-2010-2165, CVE-2010-2166, CVE-2010-2167, CVE-2010-2169, CVE-2010-2170, CVE-2010-2171, CVE-2010-2172, CVE-2010-2173, CVE-2010-2174, CVE-2010-2175, CVE-2010-2176, CVE-2010-2177, CVE-2010-2178, CVE-2010-2179, CVE-2010-2180, CVE-2010-2181, CVE-2010-2182, CVE-2010-2183, CVE-2010-2184, CVE-2010-2185, CVE-2010-2186, CVE-2010-2187, CVE-2010-2188, CVE-2010-2189
Piattaforme: tutte
Sono state individuate vulnerabilità critiche in Adobe Flash Player 10.0.45.2 e versioni precedenti. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Adobe consiglia agli utenti di Adobe Flash Player 10.0.45.2 e versioni precedenti di eseguire l'aggiornamento ad Adobe Flash Player 10.1.53.64. Adobe consiglia agli utenti di Adobe AIR 1.5.3.9130 e versioni precedenti di eseguire l'aggiornamento ad Adobe AIR 2.0.2.12610.
Adobe Flash Player 10.0.45.2 e versioni precedenti per Windows, Macintosh, Linux e Solaris
Adobe AIR 1.5.3.9130 e versioni precedenti per Windows, Macintosh e Linux
Per verificare il numero di versione di Adobe Flash Player installato sul proprio sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic con il pulsante destro del mouse sul contenuto eseguito in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu visualizzato. Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul sistema in uso.
Per verificare il numero della versione di Adobe AIR installata sul proprio sistema, consultare le istruzioni contenute nella nota tecnica su Adobe AIR.
Adobe Flash Player
Adobe consiglia a tutti gli utenti di Adobe Flash Player 10.0.45.2 e versioni precedenti di passare alla versione più recente (10.1.53.64) scaricandola dal Centro di download di Flash Player oppure utilizzando, quando richiesto, il meccanismo di aggiornamento automatico integrato nel prodotto.
Per risolvere le vulnerabilità descritte nel presente bollettino sulla sicurezza, sul sito di Adobe Labs è disponibile una versione provvisoria di Flash Player 10.1 per le piattaforme Solaris*.
Per gli utenti che non possono effettuare l'aggiornamento a Flash Player 10.1.53.64, Adobe ha sviluppato una versione corretta di Flash Player 9: Flash Player 9.0.277.0, scaricabile dal seguente collegamento*.
Adobe AIR
Adobe consiglia a tutti gli utenti di Adobe AIR 1.5.3.9130 e versioni precedenti di eseguire l'aggiornamento alla versione più recente (2.0.2.12610) scaricandola dal Centro di download di Adobe AIR.
Adobe classifica questo aggiornamento come critico e consiglia agli utenti interessati di aggiornare le proprie installazioni alle versioni più recenti.
Sono state individuate vulnerabilità critiche in Adobe Flash Player 10.0.45.2 e versioni precedenti. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-1297).
Nota: secondo alcune segnalazioni, questa vulnerabilità viene attivamente sfruttata in modo incontrollato.
Questo aggiornamento risolve una vulnerabilità di esaurimento della memoria che potrebbe provocare l'esecuzione di codice (CVE-2009-3793).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2160).
Questo aggiornamento risolve una vulnerabilità di indicizzazione che potrebbe provocare l'esecuzione di codice (CVE-2010-2161).
Questo aggiornamento risolve una vulnerabilità di danneggiamento dell'heap che potrebbe provocare l'esecuzione di codice (CVE-2010-2162).
Questo aggiornamento risolve varie vulnerabilità che potrebbero provocare l'esecuzione di codice (CVE-2010-2163).
Questo aggiornamento risolve una vulnerabilità "use after free" che potrebbe provocare l'esecuzione di codice (CVE-2010-2164).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2165).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2166).
Questo aggiornamento risolve varie vulnerabilità di overflow dell'heap che potrebbero provocare l'esecuzione di codice (CVE-2010-2167).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria del puntatore che potrebbe provocare l'esecuzione di codice (CVE-2010-2169).
Questo aggiornamento risolve una vulnerabilità di overflow di valori integer che potrebbe provocare l'esecuzione di codice (CVE-2010-2170).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2171).
Questo aggiornamento risolve un problema di attacco di tipo Denial of Service (DoS) su determinate piattaforme UNIX (solo in Flash Player 9) (CVE-2010-2172).
Questo aggiornamento risolve una vulnerabilità relativa a un problema di puntatore non valido che potrebbe provocare l'esecuzione di codice (CVE-2010-2173).
Questo aggiornamento risolve una vulnerabilità relativa a un problema di puntatore non valido che potrebbe provocare l'esecuzione di codice (CVE-2010-2174).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2175).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2176).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2177).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2178).
Questo aggiornamento risolve una vulnerabilità di analisi degli URL che potrebbe provocare un attacco di cross-site scripting (solo nei browser Firefox e Chrome) (CVE-2010-2179).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2180).
Questo aggiornamento risolve una vulnerabilità di overflow di valori integer che potrebbe provocare l'esecuzione di codice (CVE-2010-2181).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2182).
Questo aggiornamento risolve una vulnerabilità di overflow di valori integer che potrebbe provocare l'esecuzione di codice (CVE-2010-2183).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2184).
Questo aggiornamento risolve una vulnerabilità di overflow del buffer che potrebbe provocare l'esecuzione di codice (CVE-2010-2185).
Questo aggiornamento risolve una vulnerabilità di tipo Denial of Service (DoS) che potrebbe provocare l'arresto anomalo dell'applicazione. L'esecuzione di codice arbitrario non è stata dimostrata, ma è possibile (CVE-2010-2186).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2187).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2188).
Questo aggiornamento risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2010-2189).
Nota: questo problema si verifica solamente su sistemi VMWare con strumenti VMWare attivati.
Questo aggiornamento risolve un problema di attacco di tipo Denial of Service (DoS) (CVE-2008-4546).
Adobe consiglia agli utenti di Adobe Flash Player 10.0.45.2 e versioni precedenti di eseguire l'aggiornamento ad Adobe Flash Player 10.1.53.64. Adobe consiglia agli utenti di Adobe AIR 1.5.3.9130 e versioni precedenti di eseguire l'aggiornamento ad Adobe AIR 2.0.2.12610.
Software interessati |
Aggiornamento consigliato |
Disponibilità |
Flash Player 10.0.45.2 e versioni precedenti |
10.1.53.64 |
|
Flash Player 10.0.45.2 e versioni precedenti (distribuzione in rete) |
10.1.53.64 |
|
AIR 1.5.3.9130 |
AIR 2.0.2.12610 |
|
Flash Professional CS5, Flash CS4 Professional e Flex 4 |
10.1.53.64 |
|
Flash CS3 Professional e Flex 3 |
9.0.277.0 |
Nota: Adobe Flash Player 10.1.53.64 sarà l'ultima versione supportata dai computer Macintosh G3 con processore PowerPC. Adobe sospenderà il supporto dei computer G3 con processore PowerPC e non fornirà più aggiornamenti di sicurezza dopo il rilascio di Flash Player 10.1.53.64, poiché alle prestazioni sono stati apportati dei miglioramenti incompatibili con l'architettura PowerPC precedente.
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
10 giugno 2010 - Aggiornamento della sezione Ringraziamenti con l'aggiunta di Lockheed Martin CIRT come membro del Defense Security Information Exchange.
10 giugno 2010 - Pubblicazione del bollettino.
