16/04/2015 di Redazione

Adobe chiude più falle in ColdFusion, Flex e Flash Player

Grazie anche alle segnalazioni giunte dal Web, la società è riuscita a intervenire su 22 problematiche che affliggevano i tre programmi. Una di queste, segnalata con il codice Cve-2015-3043, era di tipo “zero-day” e avrebbe consentito agli hacker di prend

immagine.jpg

Adobe è corsa ai ripari per salvaguardare la sicurezza degli utilizzatori di ColdFusion, Flex e Flash Player, in seguito a numerose segnalazioni giunte dal Web su alcune falle. In particolare, il lettore flash presenterebbe una vulnerabilità che sarebbe già sfruttabile dagli hacker per effettuare attacchi. A quanto si apprende dal sito di supporto dell’azienda, infatti, eventuali malintenzionati potrebbero inserirsi nel buco e prendere il controllo del sistema affetto: per questo motivo, gli utenti Windows e Macintosh sono stati invitati ad aggiornare Flash Player alla versione 17.0.0.169 e sistemare così questa vulnerabilità “zero-day”, registrata con il codice Cve-2015-3043. In totale, gli esperti di sicurezza della software house avrebbero individuato ben 22 problematiche di diversa importanza, grazie anche al supporto di numerosi sviluppatori e di iniziative di sorveglianza esterne come Google Project Zero.

Ma la società ha dovuto lavorare anche per coprire le spalle ad altri due programmi: sono infatti interessate le versioni 10 e 11 di ColdFusion, piattaforma di sviluppo rapido di applicazioni Web e la release 4.6 di Adobe Flex. Le problematiche sono abbastanza simili e gli aggiornamenti risolvono una falla legata alla verifica degli input, che permetterebbe agli hacker di lanciare attacchi di tipo reflected cross-site scripting.

Con questa tecnica, la quale sfrutta appunto una vulnerabilità presente nei siti dinamici che non implementano controlli sufficienti dell’input nei form, i criminali possono “iniettare” codice eseguibile tramite metodi di richiesta Get o Post del protocollo Http, effettuati dalla stessa vittima. In sostanza, si può indurre l’utente a seguire un Url “civetta” creato appositamente: la finta pagina inietterà poi il codice maligno direttamente lato client.

 

Adobe ColdFusion è una piattaforma per sviluppare in modo rapido applicazioni Web

 

Nello specifico, invece, il problema legato ad Adobe Flex 4.6 – nato per la scrittura di applicazioni Internet basate su Flash – riguarda lo strumento Asdoc Tool, che permette l’analisi di una o più definizioni di classe ActionScript e di file Mxml, generando poi la documentazione relativa al linguaggio Api per tutti i metodi e le proprietà protette. Adobe consiglia agli sviluppatori di scaricare una versione sicura del file index.html e di sostituirla a quella già implementata nei loro siti.

 

ARTICOLI CORRELATI