Patch day, bug critici nei prodotti di Microsoft e Adobe: chiusi in 105


Adobe e Microsoft hanno rilasciato separatamente gli aggiornamenti di aprile per risolvere un gran numero di falle di sicurezza nei loro software. Adobe ha patchato 59 bug nei suoi prodotti Flash Player, Acrobat e Reader. Microsoft ha spinto 46 correzioni per risolvere altrettante vulnerabilità in Windows, Internet Explorer, Microsoft Edge, Office, .NET Framework e Silverlight. Almeno due dei bug critici fissati da Microsoft questo mese sono già sfruttati in attacchi attivi, tra cui una pericolosa falla in Word. Infine, si ricorda che questo è l'ultimo mese che Vista riceve gli update di sicurezza.

Gli aggiornamenti di Adobe includono sette vulnerabilità di sicurezza in Flash Player (CVE-2017-3058, CVE-2017-3059, CVE-2017-3060, CVE-2017-3061, CVE-2017-3062, CVE-2017-3063, CVE-2017-3064) per le versioni di Windows, Mac e Linux, i primi quattro dei quali risolvono vulnerabilità use-after-free che potrebbero provocare l'esecuzione di codice. Le altre patch risolvono una vulnerabilità in Adobe Campaign (CVE-2017-2989), due in Photoshop CC (CVE-2017-3004, CVE-2017-3005) e due in Creative Cloud Desktop Application (CVE-2017-3006, CVE-2017-3007). In aggiunta, questo mese ci sono 47 vulnerabilità rattoppate nell'applicazione Adobe Reader.

Questi aggiornamenti risolvono, tra l'altro una vulnerabilità di buffer overflow dell'heap che potrebbero provocare l'esecuzione di codice. Guardando specificamente alla consulenza di Adobe Flash, cinque dei sette problemi sono stati risolti attraverso il programma Zero Day Initiative (ZDI) di Trend Micro e due dei bug (CVE-2017-3062 e CVE-2017-3063) sono stati resi noti attraverso il Pwn2Own. Adobe risolve una vulnerabilità in Photoshop di corruzione della memoria durante l'analisi dei file PCX dannosi che potrebbe provocare l'esecuzione di codice, mentre il secondo update risolve una vulnerabilità non quotata del percorso di ricerca in Photoshop su Windows. 

Per quanto riguarda Flash Player, Chrome e Internet Explorer dovrebbero auto-installare l'ultima versione del plug-in di Adobe al riavvio del browser (per gli utenti potrebbe essere necessario controllare manualmente gli aggiornamenti e/o riavviare il browser in modo da ottenere l'ultima versione di Flash). Per gli utenti di Chrome potrebbe essere necessario riavviare il browser ed installare o scaricare la versione più recente automaticamente. In caso di dubbi, fare clic sull'icona a tre punti verticale a destra della barra degli indirizzi, selezionare "Guida", quindi "Informazioni su Chrome": se non è disponibile un update, Chrome dovrebbe installarlo successivamente.

Il cambiamento più importante del patch Tuesday di aprile per gli utenti di Windows è la sostituzione dei singoli bollettini sulla sicurezza con un singolo pacchetto di aggiornamento. Questa modifica permette ai clienti di ottenere un update cumulativo che ingloba tutte le patch. Le informazioni sugli aggiornamenti di sicurezza sono disponibili sul sito Microsoft Security Bulletin. Inoltre, questo mese è cambiato il modello utilizzato per i bollettini sulla sicurezza che comprendeva numeri di identificazione elettronica (ad esempio, MS16-XXX). Questa forma di documentazione è stata sostituita con la Security Update Guide in cui ogni patch è identificata dai numeri KB.




Via: PA

Nessun commento:

Posta un commento