Consulenza sulla sicurezza per Adobe Flash Player

Data di pubblicazione: 2 febbraio 2015

Ultimo aggiornamento: 4 febbraio 2015

Identificatore di vulnerabilità: APSA15-02

Codice CVE: CVE-2015-0313

Piattaforme: tutte

È stata riscontrata un'importante vulnerabilità (CVE-2015-0313) in Adobe Flash Player 16.0.0.296 e versioni precedenti per Windows e Macintosh.  Se sfruttata, tale vulnerabilità potrebbe provocare l'arresto anomalo dell'applicazione e consentire a eventuali aggressori di assumere il controllo del sistema interessato.  Abbiamo ricevuto segnalazioni per cui tale vulnerabilità viene attivamente sfruttata tramite attacchi del tipo drive-by-download a sistemi che utilizzano Internet Explorer e Firefox su Windows 8.1 e versioni precedenti. 

AGGIORNAMENTO (4 febbraio): gli utenti che hanno attivato l'aggiornamento automatico del runtime desktop di Flash Player riceveranno la versione 16.0.0.305 a partire dal 4 febbraio. Questa release include una correzione della vulnerabilità CVE-2015-0313. Adobe prevede di fornire un aggiornamento per il download manuale il 5 gennaio; inoltre, stiamo collaborando con i nostri partner di distribuzione per rendere disponibile l'aggiornamento in Google Chrome e Internet Explorer 10 e 11. Per ulteriori informazioni sull'aggiornamento di Flash Player, consultate il seguente post.  

Versioni del software interessate

  • Adobe Flash Player 16.0.0.296 e versioni precedenti per Windows e Macintosh
  • Adobe Flash Player 13.0.0.264 e versioni 13.x precedenti

Per verificare il numero di versione di Adobe Flash Player installato sul vostro sistema, accedete alla pagina Informazioni su Flash Player oppure fate clic con il pulsante destro del mouse sul contenuto in esecuzione in Flash Player e selezionate "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul sistema in uso. 

Valutazione della gravità

Adobe classifica tale vulnerabilità come critica.

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato la vulnerabilità CVE-2015-0313, contribuendo così a proteggere la sicurezza dei nostri clienti: 

  • Elia Florio e Dave Weston di Microsoft 

  • Peter Pi di Trend Micro

Revisioni

2 febbraio 2015: versione 11.x di Flash Player rimossa dall' elenco delle versioni interessate.  Le versioni 11.x e precedenti non supportano la funzionalità interessata dalla vulnerabilità CVE-2015-0313.   

4 gennaio 2015: aggiornato per includere la versione di Flash Player distribuita tramite aggiornamento automatico.