Scrivevamo qualche ora fa che, con l’ultimo Patch Tuesday, Microsoft ha rilasciato un aggiornamento per Flash che avrebbe corretto una vulnerabilità critica di cui Adobe ha parlato lo scorso maggio. E, prima di quella, erano state scoperte (e sfruttate) altre vulnerabilità di Flash sia a marzo che ad aprile.
Purtroppo per Adobe, neppure giugno è un mese immune dai problemi per la tecnologia Flash, che ormai è insicura a livelli critici: la stessa azienda ha infatti pubblicato un security bulletin che parla di una vulnerabilità zero-day (CVE-2016-4171) che riguarda Flash Player 21.0.0.242 e precedenti e coinvolge i sistemi operativi Windows, Mac, Linux e Chrome OS – dunque anche il browser Google Chrome.
Neanche a dirlo, la vulnerabilità è già stata sfruttata: a confermarlo i ricercatori di Kaspersky, che spiegano che il malware utilizzato (e già sfruttato dal gruppo ScarCruft) può provocare il crash del sistema ed il controllo completo sulla macchina.
Non si conoscono altri dettagli riguardo la vulnerabilità CVE-2016-4171, tuttavia Adobe ha promesso la distribuzione di una patch entro il prossimo 16 giugno e, a distribuzione avvenuta, saranno resi noti ulteriori dettagli implementativi.
Con tutti questi problemi, è una fortuna che le big siano corse ai ripari disattivando – nel presente o in un futuro piuttosto vicino – l’esecuzione di Flash sui siti web per impostazione predefinita…