Adobe ha da poco reso disponibile una release aggiornata di Flash Player, il popolarissimo plugin disponibile nelle versioni destinate ai vari browser web. L’installazione della nuova versione di Flash Player è caldamente consigliata dal momento che consentirà di risolvere ben sette vulnerabilità scoperte nelle precedenti release. A tutti gli utenti di Flash Player, qualunque sia il browser utilizzato, viene suggerito di procedere tempestivamente all’aggiornamento: solo così si potrà evitare di correre rischi durante la navigazione sul web. Qualora si dovesse incontrare una creatività Flash “malevola”, utilizzando una qualunque versione precedente alla 11.3.300.257, il plugin di Adobe potrebbe andare in crash e, sui browser che non integrano alcuna misura protettiva addizionale (meccanismi di sandboxing), potrebbe verificarsi l’esecuzione di codice dannoso sul sistema dell’utente (il tutto è chiarito in questa pagina).
Meccanismo di sandboxing per Firefox
I tecnici di Adobe hanno spiegato che la versione di Flash Player appena resa disponibile per il download integra un meccanismo di sandboxing appositamente studiato per gli utenti di Firefox. Se, per il momento, il browser di Mozilla non usa una sandbox per l’intero browser, quanto meno si potrà evitare che eventuali creatività Flash malevole possano compiere operazioni all’infuori del “recinto” all’interno del quale vengono eseguite.
Secondo Peleus Uhley, ingegnere software di Adobe, la nuova funzionalità “Protected Mode” della quale è stato arricchito il plugin Flash Player per Firefox ha richiesto all’incirca un anno di sviluppo. L’implementazione, ha dichiarato Uhley, è molto simile a quella usata nel caso di Reader X: “dal momento del suo lancio, datato novembre 2010, non abbiamo rilevato un singolo exploit in grado di dribblare le difese di Adobe Reader X“. Lo sviluppo del nuovo plugin per Firefox sarebbe stato coadiuvato dagli stessi programmatori di Mozilla che hanno risolto alcuni dei principali bug legati all’integrazione con il browser web.
L’argomento “sandboxing” è stato più volte oggetto di analisi da parte dei ricercatori di sicurezza: già a suo tempo avevamo pubblicato una comparativa tra i principali browser presenti sul mercato. “Le sandbox consentono di alzare notevolmente il livello di sicurezza“, aveva fatto presente il noto ricercatore Dino Dai Zovi, “tanto che gli aggressori debbono orientarsi verso altre tipologie di attacco quali, ad esempio, la distribuzione di falsi programmi antivirus (rogue antivirus; ved. questa pagina e l’articolo “Rogue software: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce“). Interessante l’analisi elaborata da Accuvant (ved. questo nostro articolo) che mette a confronto, nel dettaglio, tutti i principali browser web disponibili sul mercato esaminandone le funzionalità di protezione volte alla sicurezza dell’utente e dei dati memorizzati sul suo sistema.
“Aggiornamenti silenti” anche sulla piattaforma Mac OS X
Dopo aver lanciato gli “aggiornamenti silenti” in Windows, Adobe con il rilascio di Flash Player 11.3.300.257 porta la medesima funzionalità anche in ambiente Mac OS X. Come abbiamo più volte ricordato, esplorare il web utilizzando una versione obsoleta di Flash Player è assolutamente sconsigliato: le versioni più datate dell’applicazione soffrono di vulnerabilità di sicurezza più o meno gravi che possono esporre il sistema in uso (ed i dati in esso memorizzati) ad attacchi provenienti dalla Rete. I rischi sono solitamente più contenuti se si utilizza un browser dotato di un meccanismo di sandboxing: il tempestivo aggiornamento di Flash Player, tuttavia, è un’operazione che non dovrebbe essere mai rimandata.
I tecnici di Adobe hanno quindi studiato un sistema che possa permettere di mantenere sempre aggiornati all’ultima versione (esente da vulnerabilità di sicurezza note) quanti più sistemi possibile. Sui sistemi Windows, una finestra di dialogo chiede all’utente quale metodologia di aggiornamento preferisca impiegare (installazione automatica degli aggiornamenti non appena disponibili; notifica della loro disponibilità; blocco di qualunque genere di controllo).
Con il lancio di Flash Player 11.3.300.257, gli utenti di Mac OS X potranno fruire dello stesso impianto previsto per coloro che fanno uso di un sistema Windows: lo strumento di update controlla, a cadenza oraria, la disponibilità di eventuali aggiornamenti effettuandone l’installazione secondo le preferenze impostate.
I link per il download e l’installazione della nuova versione di Flash Player
in modo tale da controllare quale sia la versione di Adobe Flash Player installata.
È bene tenere presente che l’operazione di aggiornamento deve essere ripetuta per ciascun browser installato sulla propria macchina: Internet Explorer e Mozilla Firefox, ad esempio, utilizzano tecnologie differenti per supportare Flash. Com’è noto, infatti, il prodotto di Microsoft impiega la tecnologia ActiveX per inserire oggetti Flash nelle pagine web visualizzate.
Google Chrome, invece, integra un meccanismo di aggiornamento automatico del plugin di Adobe: digitando nella barra degli indirizzi l’URL about:plugins
oppure cliccando qui, si dovrà leggere l’indicazione del numero di versione 11.3.300.257 accanto alla voce Flash (in caso contrario, si dovrà procedere con l’aggiornamento dell’intero browser di Google).
Come accade da qualche release a questa parte, al termine dell’installazione di Flash Player 11.3.300.257 apparirà una finestra di dialogo attraverso la quale l’utente potrà selezionare la metodologia di update preferita: installazione automatica degli aggiornamenti non appena disponibili; notifica della loro disponibilità; blocco di qualunque genere di controllo. Tra le tre opzioni la terza è certamente quella più sconsigliabile perché si rischierebbe di lasciare il sistema non adeguatamente protetto ed esposto a quelle minacce che tentassero di sfruttare vulnerabilità note presenti nelle vecchie versioni di Flash Player.
Sui sistemi Windows, scegliendo una delle prime due possibilità, la procedura d’installazione di Flash Player aggiungerà una nuova voce all’interno dell’Utilità di pianificazione del sistema operativo (Adobe Flash Player Updater
). Essa provvederà ad eseguire periodicamente il file %systemroot%system32MacromedFlashFlashPlayerUpdateService.exe
in modo da verificare la disponibilità di aggiornamenti.
di approfondimento abbiamo presentato uno script VBS che abbiamo ideato e che permette di controllare rapidamente l’eventuale disponibilità di aggiornamenti per Flash Player, Adobe Reader 9.x ed altri software.