Adobe e Microsoft hanno rilasciato gli aggiornamenti per risolvere i problemi di sicurezza nel loro software. Il primo Patch Tuesday del 2016 di Adobe affronta 17 falle nei suoi prodotti Acrobat e PDF Reader, ognuna delle quali è considerata di livello Critico. Microsoft ha rilasciato separatamente nove aggiornamenti per risolvere 25 falle di sicurezza in Windows e software associato. Adobe ha detto che non è a conoscenza di attacchi attivi contro le vulnerabilità corrette in uscita questo mese. Adobe sta anche gradualmente eliminando le vecchie versioni di Acrobat e Reader.
Come rileva la società in un post sul blog, Adobe Acrobat e Adobe Reader X non saranno più supportati. I prodotti interessati dalla patch odierna sono: Acrobat DC, Acrobat Reader DC, Acrobat XI e Reader XI. Cinque patch risolvono le vulnerabilità use-after-free, un'altra corregge una vulnerabilità double-free, nove problemi di corruzione della memoria, una risolve un metodo per bypassare le restrizioni nell'esecuzione API Javascript e l'ultima gli aggiornamenti di Adobe Download Manager. Tutte tranne l'ultima potrebbero portare all'esecuzione di codice. Questo nuovo aggiornamento arriva dopo un rilascio di patch fuori programma alla fine di dicembre per risolvere diversi problemi critici in Flash Player.
Tuttavia, il numero di correzioni rilasciate questo mese per Acrobat e Reader è relativamente piccolo in confronto a quelle pubblicate da Adobe nell'ultimo patch day del 2015. Questo mese Microsoft ha risolto anche una vulnerabilità zero-day in Silverlight. Il problema era stato segnalato dai ricercatori di Kaspersky che hanno rilevato il codice exploit. Intanto Eset ha lanciato l'allarme in merito ad un nuovo ransomware che finge di essere il file eseguibile del browser Chrome di Google. Nel frattempo, lo studente canadese Evan Andersen pronto per giocare a Diablo III e navigando in incognito su Chrome, ha scoperto un bug che affligge i Mac con GPU Nvidia ed espone qualsiasi cosa venga mostrato a schermo.
Andersen aveva visitato dei siti porno e spiega: "La memoria della GPU non viene svuotata prima di essere passata ad un'altra app. Questo permette al contenuto di un'app di trapelare nel contesto di un'altra. Quando la finestra in incognito di Chrome è stata chiusa il suo framebuffer è stato aggiunto al pool di memoria della GPU libera, senza però essere cancellato. Quando Diablo ha richiesto nuovamente il framebuffer, la GPU ha offerto quello precedentemente utilizzato da Chrome. Dato che Diablo non svuota il buffer prima di richiederlo (come dovrebbe) la vecchia finestra di navigazione in incognito è stata mostrata di nuovo sullo schermo". Nvidia ha spiegato che il bug è legato alla gestione della memoria nell'OS di Apple.
Con il bollettino APSB16-02, Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Acrobat e Reader per Windows e Macintosh. Questi aggiornamenti riguardano importanti vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Adobe consiglia agli utenti di aggiornare le proprie installazioni software alle ultime versioni. Gli aggiornamenti possono essere attivati tramite la funzione di update integrata nei singoli programmi. I prodotti si aggiorneranno automaticamente quando gli update vengono rilevati senza richiedere l'intervento dell'utente. Il programma di installazione Acrobat Reader può essere scaricato dall'Adobe Reader Download Center.
Nessun commento:
Posta un commento