Una nuova minaccia incombe sul Flash Player: la società di origini russe operante nel campo della sicurezza Intevydis ha infatti individuato due nuove vulnerabilità presenti all’interno dell’ultima edizione dello strumento per la riproduzione di contenuti multimediali online realizzato da Adobe, dimostrando come sia possibile effettuare un attacco nei confronti di numerosi utenti in maniera piuttosto semplice.
Le due vulnerabilità sono state infatti accompagnate da un exploit in grado di sfruttarle per prendere il controllo del computer della vittima, includendo un apposito codice all’interno di una pagina web. L’exploit, battezzato vd_adobe_fp, è stato inoltre incluso all’interno di Immunity Canvas, uno strumento utilizzato per effettuare test di accesso all’interno di computer connessi al web ed è dunque liberamente disponibile da parte di chiunque abbia intenzione di farne uso.
Ad essere coinvolte sono soprattutto le ultime edizioni del sistema operativo Windows, le cui misure di protezione non risultano essere sufficienti ad arginare il problema: la falla non è infatti controllabile dai sistemi di sandboxing che caratterizzano il browser Internet Explorer ed allo stesso modo altre applicazioni per la navigazione web come Firefox e Chrome risultano essere afflitte dal medesimo problema. Per far scattare l’attacco è sufficiente collegarsi ad un’apposita pagina web allestita per l’occasione, la quale da il via all’esecuzione di una shell con privilegi sufficienti al caricamento di altri moduli software in grado di offrire pieno controllo della macchina coinvolta da parte di eventuali malintenzionati.
Trattasi dunque di una vulnerabilità di massima importanza, la quale non è stata tuttavia notificata da Intevydis ad Adobe in seguito alla politica adottata negli ultimi mesi dal gruppo, restio a fornire gratuitamente informazioni alle software house. L’azienda statunitense ha promesso di studiare il problema entro breve tempo, fornendo ai propri utenti una soluzione che possa ripristinare la sicurezza dei computer in uso: nonostante ciò, però, Intevydis ha promesso di proseguire lungo la propria strada, suggerendo la possibilità di rilasciare a breve una versione del medesimo exploit dedicato ad ambienti Mac.