MEGAFALLA IN FLASH, A RISCHIO MILIONI DI UTENTI
da “Punto Informatico” del 19/12/2002
Il diffusissimo player Flash distribuito da Macromedia come plug-in per i browser contiene una grave falla che potrebbe mettere in pericolo la sicurezza di un grandissimo numero di utenti del Web.
19/12/02 – Per gli utenti del Web è scattato l’allarme rosso. Quello che infatti viene considerato uno dei software più diffusi al mondo, il Flash Player, contiene una seria vulnerabilità di sicurezza che, almeno potenzialmente, potrebbe interessare un numero di utenti molto vicino a alla percentuale fornita da Macromedia, e superiore al 90%, dei browser Web che hanno il plug-in di Flash installato.
La vulnerabilità, scoperta dalla società di sicurezza eEye Digital Security, affligge tutte le versioni del plug-in di Flash Player (tranne l’ultima versione patchata, la 6.0.65.0) e tutte le maggiori piattaforme: Windows, Linux, Unix e Macintosh.
Secondo quanto riportato nell’advisory di sicurezza di eEye, la falla consiste in un buffer overflow sfruttabile da un aggressore attraverso la creazione di un file SWF contenente un header malformato: tale file, una volta aperto con il player Flash, può causare l’esecuzione di comandi e compromettere il sistema. In alcuni casi eEye sostiene che la vulnerabilità possa essere sfruttata anche attraverso una e-mail HTML.
Ciò che secondo eEye contribuisce a rendere le vulnerabilità di Flash Player molto temibili è il fatto che questo software non preveda alcun tipo di aggiornamento automatico: solo i creatori di contenuti possono decidere di includere nelle proprie animazioni Flash la richiesta all’utente di scaricare una versione più aggiornata del player. Questo, secondo la società di sicurezza, rallenta a dismisura il processo di aggiornamento, soprattutto considerando l’entità del bacino di utenti di Flash.
Macromedia raccomanda a tutti gli utenti di scaricare immediatamente (anche
da qui) la versione aggiornata del plug-in di Flash Player.
Bazar Etrusco di conseguenza sta gia apportando le modifiche necessarie per far richiedere l’aggiornamento del player in automatico all’utente già dai prossimi giorni.