Adobe Flash Player, patch di fine anno

Quello dell’8 dicembre doveva essere l’ultimo aggiornamento del 2015, ma Adobe è stata costretta (non è la prima volta) a distribuire una nuova versione di Flash Player per Windows, Mac e Linux che risolve 19 vulnerabilità critiche. L’anno si conclude quindi nel peggiore dei modi per l’azienda di San Jose. Fortunatamente, il famigerato plugin avrà vita breve e il 2016 sarà l’anno della sua morte, che coinciderà con la definitiva affermazione dello standard HTML5.

Adobe ha dovuto rilasciare la “patch di emergenza” per bloccare la diffusione dell’exploit che sfrutta una delle vulnerabilità (integer overflow), identificata con il numero CVE-2015-8651. Il bug scoperto da due ricercatori di Huawei consente l’esecuzione di codice arbitrario se l’utente visita un sito web infetto. Un malintenzionato ottiene così il controllo totale del computer. Il bollettino di sicurezza riporta inoltre 13 vulnerabilità di tipo “use-after-free”, una di tipo “type confusion” e quattro di tipo “memory corruction”. Si tratta, insomma, di una bella collezione di bug che potrebbero rovinare il Capodanno a molti utenti.

Adobe suggerisce di installare con urgenza le nuove versioni 20.0.0.267 per Windows e Mac, e 11.2.202.559 per Linux. Google Chrome, Internet Explorer 10 e 11 per Windows 8/8.1, Microsoft Edge e Internet Explorer 11 per Windows 10 riceveranno automaticamente l’ultima versione di Flash Player. Per quanto possibile è sempre meglio utilizzare l’opzione “Chiedi prima di attivare” del browser.

Con questo ultimo aggiornamento il numero totale di bug scoperti nel 2015 arriva a quota 316, pari a circa 26,3 al mese o 6,1 a settimana. In base a questi dati, entro Capodanno verranno scoperte altre tre vulnerabilità. Fortunatamente, almeno per quanto riguarda le pagine web, il plugin ha i giorni contati. YouTube, Facebook e Netflix utilizzano già un player HTML5. La stessa Adobe ha preso le distanze da Flash, consigliando agli sviluppatori di usare i nuovi standard web.