Adobe ha corretto una vulnerabilità critica di esecuzione di codice arbitrario in Flash Player. Questo è l’unico difetto risolto dal gigante del software in questo Patch Tuesday.
La vulnerabilità, rilevata come CVE-2020-9746, è stata descritta come un problema di dereferenziazione del puntatore NULL.
“Il successo dello sfruttamento potrebbe portare a un arresto anomalo sfruttabile, con conseguente potenziale esecuzione di codice arbitrario nel contesto dell’utente corrente”, ha spiegato Adobe nel suo avviso .
L’azienda ha notato che lo sfruttamento della vulnerabilità richiede che l’autore dell’attacco inserisca stringhe dannose in una risposta HTTP fornita per impostazione predefinita tramite TLS, il che rende più difficile condurre un attacco.
Adobe ha patchato CVE-2020-9746 con il rilascio di Flash Player 32.0.0.445 per Windows, macOS, Linux e Chrome OS.
L’azienda afferma che non ci sono prove che la vulnerabilità sia stata sfruttata per scopi dannosi e, sebbene il bug sia stato classificato come critico , Adobe gli ha assegnato un punteggio di priorità 2, il che significa che non si aspetta che venga sfruttato a breve .
“Come accade in genere per le vulnerabilità di Flash Player, lo sfruttamento basato sul Web è il vettore principale di sfruttamento, ma non l’unico. Queste vulnerabilità possono anche essere sfruttate tramite un controllo ActiveX incorporato in un documento di Microsoft Office o qualsiasi applicazione che utilizzi il motore di rendering di IE”, ha dichiarato a SecurityWeek Nick Colyer, responsabile marketing senior di Automox .
Colyer ha aggiunto:
“Come best practice per la sicurezza, la riparazione dei vettori di minacce comunemente sfruttabili o ricorrenti è sempre fortemente incoraggiata. Per le organizzazioni che non sono in grado di rimuovere Adobe Flash a causa di una funzione critica per l’azienda, si consiglia di mitigare il potenziale di minaccia di queste vulnerabilità impedendo l’esecuzione del tutto di Adobe Flash Player tramite la funzione killbit, impostare un criterio di gruppo per disattivare la creazione di istanze di oggetti Flash oppure limita le impostazioni del centro di protezione che richiedono elementi di script attivi”.
Flash Player raggiungerà la fine del supporto il 31 dicembre e non riceverà più aggiornamenti di sicurezza. I produttori di browser hanno iniziato ad agire e Microsoft ha recentemente annunciato che Flash verrà rimosso dal nuovo browser Edge entro gennaio 2021.