Il bollettino è indicato con numero d’archivio CVE-2009-1860: «Una vulnerabilità critica è stata identificata in Adobe Shockwave Player 11.5.0.596 e nelle versioni precedenti. Questa vulnerabilità può permettere ad un malintenzionato di portare a segno un exploit per prendere il controllo del sistema». Dettagli scarni, ma non serve sapere altro al momento: i 450 milioni di client aventi Shockwave installato dovrebbero immediatamente provvedere all’aggiornamento del sistema.
Adobe non offre spiegazioni ulteriori. La vulnerabilità è giudicata critica ed il gruppo ha diramato l’aggiornamento alla versione 11.5.0.600 che corregge l’imperfezione emersa. Un eventuale attacco potrebbe avvenire proponendo un file Shockwave (da aprirsi con Shockwave Player) con il quale l’utente dovrebbe interagire per il lancio dell’exploit. La scoperta del problema è firmato dalla Zero Day Initiative, gruppo di ricercatori fondato dalla TippingPoint allo scopo di identificare e segnalare ai produttori eventuali vulnerabilità nei software sul mercato.
Trattasi per Adobe di una patch particolare per un motivo curioso. Da circa un mese, infatti, il gruppo ha annunciato una nuova policy di aggiornamento per i propri software: le patch saranno diramate a cadenza trimestrale ed in occasione del secondo martedì del mese. Ogni tre mesi, quindi, Adobe rilascia un aggiornamento in concomitanza con il Patch Day Microsoft. Nonostante le ultime patch Adobe siano state rilasciate da poche settimane, però, già compare un’eccezione a confermare la nuova regola: la patch odierna è rilasciata infatti al di fuori del ciclo trimestrale. Anche in questo caso, però, viene seguita l’impronta Microsoft, secondo cui in caso di ferma necessità è possibile deviare dai binari tradizionali per distribuire patch particolarmente importanti anche in giorni differenti dal patch day mensile.
Il download della nuova versione è possibile tramite il sito ufficiale Shockwave, ma l’installazione richiede una procedura specifica alla quale porre ferma attenzione. L’installazione non può essere infatti operata sovrapponendo le due versioni di Shockwave. Pertanto occorre:
- rimuovere Shockwave 11.5.0.596 o precedenti dal sistema;
- riavviare il sistema;
- installare Shockwave 11.5.0.600.