Ancora problemi per Adobe: è stato annunciato, in data 28 Ottobre, una nuova vulnerabilità critica che potrebbe permettere ad un utente malintenzionato di assumere il controllo della macchina remota. Il bug affligge la versione 10.1.85.3 di Flash Player per Linux, Windows e Solaris, le versioni 10.1.95.2 e precedenti per Android, e inoltre il componente authplay.dll installato con la versione 9.4 (e in generale 9.x) di Adobe Reader per Windows, Mac e UNIX nonchè lo stesso componente installato però con Adobe Reader 9.4 e precedenti.

Per il momento la vulnerabilità è stata utilizzata contro Adobe Acrobat e Adobe Reader, e non si sono avute notizie di un exploit contro Adobe Flash Player nè su Windows, nè su Linux, nè su Mac e tantomeno su Android. Ecco una parte del comunicato ufficiale:

This vulnerability (CVE-2010-3654) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being actively exploited in the wild against Adobe Reader and Acrobat 9.x. Adobe is not currently aware of attacks targeting Adobe Flash Player.

Per limitare la pericolosità del bug è possibile cancellare il file authplay.dll per quel che riguarda Acrobat e Reader (ma non sarà più possibile leggere PDF con contenuto flash), e di abilitare l’esecuzione di Flash Player solo su richiesta nel browser.

In tutti i casi, Adobe ci assicura una patch per il Player entro il nove Novembre, ed un’aggiornamento per Reader e Acrobat entro il 15 Novembre. Vi lascio il link al comunicato ufficiale.