Flash e le vulnerabilità, trecento volte “mea culpa” nel 2015

Potremmo definirlo come il “male necessario” del Web. Flash Player è ovunque, e ovunque porta i rischi connessi alle sue vulnerabilità software: 316 quelle scoperte e corrette da Adobe nel corso del 2015. Questo significa, per l’anno in dirittura d’arrivo, una media di sei patch a settimana. Per recapitarle verso i dispositivi di tutto il mondo, la casa madre di Flash ha pubblicato 21 aggiornamenti, l’ultimo dei quali proprio in questi giorni. Un update definito “di emergenza”, dal momento che corregge 19 vulnerabilità critiche. Una di queste, corrispondente alla sigla CVE-2015-8651, permette a un attaccante di eseguire codice arbitrario attraverso vettori non specificati, e pare sia già stata sfruttata.

L’ultimo aggiornamento di Flash (versione 20.0.0.267) elimina, inoltre, 13 vulnerabilità di tipo “use-after-free” (difetti nella gestione della memoria volatile, che causano crash di applicazioni o permettono l’esecuzione di codice arbitrario e altre azioni da remoto), una di tipo “type confusion” e quattro di tipo “memory corruction”. La versione ultima di Flash Player è scaricabile dal sito di Adobe e sarà inoltre rilasciata in automatico per Google Chrome, Internet Explorer 10 e 11 per Windows 8/8.1, Microsoft Edge e Internet Explorer 11 per Windows 10.

 

 

 

Stando alle dichiarazioni di Adobe, Flash Player è attualmente installato su "1,3 miliardi di sistemi". Fra gli illustri che hanno deciso di farne a meno, da qualche mese c'è Amazon: la piattaforma di e-commerce dallo scorso settembre non accetta più contenuti pubblicitari realizzati con Flash. Un altro episodio per cui Adobe ricorderò amaramente il 2015 è certo quello di Hacking Team. L'augurio migliore da fare a Flash per il 2106 è dunque quello che il nuovo anno riporti un po' di fiducia negli utenti e, possibilmente, un minor numero di bug ed episodi cybercriminali.