Macromedia – o meglio Adobe (dopo l’acquisizione della società avvenuta a metà Aprile 2005) – ha rilasciato una versione aggiornata dell'”installer” del prodotto Shockwave Player in seguito alla scoperta di una pericolosa vulnerabilità di sicurezza che potrebbe esporre a rischi un gran numero di utenti. Il problema risiede in un errore di programmazione del controllo ActiveX utilizzato dalla procedura d’installazione di Shockwave Player e che può purtroppo essere utilizzato da parte di malintenzionati per danneggiare un sistema vulnerabile. Passando, infatti, dei valori esageratamente lunghi a due parametri utilizzati dal controllo ActiveX, è possibile causare un errore di buffer overflow che può portare all’esecuzione di codice dannoso (al solito, è necessario che “la vittima” visiti un sito web opportunamente sviluppato per far leva sul problema).
La presenza della falla di sicurezza è stata accertata nella versione 10.1.0.11 di Shockwave Player così come in tutte quelle precedenti. Secunia, in primo luogo, suggerisce di installare Shockwave solo dal sito web ufficiale di Adobe-Macromedia non fidandosi assolutamente di altre fonti.
Va precisato comunque che la vulnerabilità non interessa tutti coloro che avessero già installato Shockwave Player dai server di Macromedia.
Shockwave è confuso assai di frequente con Macromedia Flash: il primo è sostanzialmente un player multimediale (precedente all’avvento di Flash) oggi utilizzato quasi esclusivamente nell’area legata allo sviluppo di videogiochi. File in formato Flash possono essere riprodotti dal player Shockwave ma non viceversa.
Il comunicato ufficiale di Macromedia relativo alla falla appena messa a nudo, è consultabile qui.
Falla in Shockwave Player: Adobe rilascia una patch
Macromedia - o meglio Adobe (dopo l'acquisizione della società avvenuta a metà Aprile 2005) - ha rilasciato una versione aggiornata dell'"installer" del prodotto Shockwave Player in seguito alla scoperta di una pericolosa vulnerabilit&a...