Pochi giorni fa Adobe ha diramato un bolletino di sicurezza ( APSA10-01 ) riguardo ad una pericolosa vulnerabilità 0-day, classificata come critical. Questa falla è già stata implementata con successo in alcuni exploit. Adobe, per il momento, non ha ancora rilasciano nessun aggiornamento.
La vulnerabilità in questione può essere usata in due modi: per mandare in crash l'applicazione o per prendere il controllo della macchina su cui si sferra l'attacco. Questa seconda modalità è stata confermata dalla stessa Adobe. I sistemi che possono essere colpiti da questo tipo di vulnerabilità sono:
- Adobe Flash Player 10.0.45.2, 9.0.262, e le precedenti versioni 10.0.x e 9.0.x per Windows, Macintosh, Linux e Solaris
- Adobe Reader e Acrobat 9.3.2 e le precedenti versioni 9.x per Windows, Macintosh and UNIX
Fortunatamente la falla non colpisce la versione 10.1 RC7 di Adobe Flash Player. Al momento quindi la miglior cosa da fare è installare tale versione, immune al problema, o disattivare del tutto il Flash Player.
Mentre per quanto riguarda Adobe Reader e Acrobat può essere utilizzato un workaround per immunizzare il programma. Basta infatti rinominare uno ( o entrambi dei due file ) in aurhplay.dll.old.
- C:\Programmi\Adobe\Reader 9.0\Reader\authplay.dll
- C:\Programmi\Adobe\Acrobat 9.0\Acrobat\authplay.dl
Nella speranza che Adobe rilasci un fix nel più breve tempo possibile.
