Flash, tanto per cambiare, è sotto assedio, e Adobe corre ai ripari. La società ha appena rilasciato 13 aggiornamenti che mirano a risolvere altrettante vulnerabilità di Flash Player, alcune delle quali in grado di aprire porte strategiche ai criminali informatici. Fra i rischi arginati con il nuovo pacchetto di update spiccano infatti la possibilità di esecuzione di codice da remoto e il furto di informazioni.
Più precisamente, sei di queste vulnerabilità possono essere sfruttate per eseguire codice da remoto, tipicamente in seguito ad attacchi che si basano sul download di programmi, attivato dalla visita di siti Web infetti e di banner pubblicitari contenenti malware. Adobe ha sottolineato di non essere a conoscenza di alcun attacco effettivamente portato a termine facendo leva su questi bug, ma questa non pare essere una garanzia se si pensa al fenomeno degli zero-day.
Altri quattro bug, risolti dall’aggiornamento, riguardano invece la possibilità che venga aggirata la cosiddetta “same policy origin”, un meccanismo di sicurezza che permette agli script in esecuzione dalle pagine di uno stesso sito (e non, quindi, a quelli con origini diverse) di accedere ai reciproci metodi e proprietà senza restrizioni. Bypassandolo, un criminale potrebbe invece accedere alla posta elettronica o ad altri contenuti personali di un utente che abbia aperta l’applicazione di email in una scheda del browser e un sito malizioso in un’altra.
Adobe ha anche messo mano una seconda volta a una vulnerabilità solo parzialmente corretta da un primo fix, che potrebbe essere sfruttata da exploit come l’attacco Rosetta Flash. I restanti aggiornamenti riguardano un difetto di Flash che potenzialmente permette a un criminale di aggirare il meccanismo anti-exploit di un sistema operativo, il cosiddetto Aslr (Address Space Layout Randomization).
Per importare i correttivi, gli utenti Windows e Mac OS devono eseguire l’aggiornamento a Flash Player 18.0.0.160, quelli Linux a Flash Player 11.2.202.466, mentre per i sistemi che sfruttano il supporto esteso va installata la versione 13.0.0.292. Per chi utilizzi Internet Explorer su Windows 8 e 8.1 oppure Google Chrome su Windows, Mac OS o Linux l’aggiornamento viene installato automaticamente dal browser.
D’altra parte è impossibile invocare una risoluzione immediata per un problema endemico e addirittura in forte crescita. Secondo un nuovo studio di McAfee Labs, nel giro di un anno i malware che sfruttano le debolezze di Flash sono passati da 47mila a 200mila a trimestre (primo quarter del 2015 versus pari periodo del 2014), con un incremento del del 317%. La colpa, certo, non è soltanto di Adobe: la popolarità di Flash, innanzitutto, fa del suo codice un terreno fertilissimo per i cybercriminali, e va poi considerata la tendenza degli utenti a non installare tempestivamente gli aggiornamenti e le patch rilasciate dalla casa madre.