Una nuova falla in Adobe Flash mette in difficoltà per la prima volta anche gli smartphone Android, sistema per il quale è disponibile Flash Player 10.1. Lo ha fatto sapere la stessa azienda, comunicando che si tratta di una vulnerabilità zero-day. Significa che gli exploit - cioè gli attacchi che sfruttano questo difetto - sono già in circolazione, anche se solo per Windows.
Oltre ad Android i sistemi operativi colpiti sono Windows, Mac, Linux e Solaris. Adobe è già al lavoro su una soluzione, per un problema che potenzialmente potrebbe provocare il crash del sistema operativo (ma anche portare alla sottrazione di dati sensibili). Flash Player sarà aggiornato non prima di due settimane. La stessa vulnerabilità riguarda anche Adobe Reader 9.3.4 e successive, ma in questo caso non sono noti exploit. Adobe Reader dovrebbe essere aggiornato a partire dal 4 ottobre.
L'amore non è bello se non è litigarello, dicono.
La vulnerabilità in questione è simile a quella che esisteva su iOS fino alla versione 4.0, e potenzialmente permette a un intruso di ottenere privilegi di amministratore sul sistema (livello root). Era stata usata per creare il sito jailbreakme.com, che permette di applicare il jailbreak a iOS 4.0 e precedenti semplicemente collegandosi a una pagina web (Ecco il jailbreak per iPhone 4). In precedenza la stessa falla era stata sfruttata per cambiare lo sfondo di telefoni jailbrekkati, inserendo la fotografia di Rick Astley, un musicista famoso degli anni '80 (Worm per iPhone mostra un divo del passato).
Anche gli smartphone Android quindi possono ricevere attacchi comuni ai desktop, ma non è la certo la prima volta che Flash Player o altri prodotti Adobe sono il potenziale veicolo di un'aggressione. L'unica consolazione per gli utenti Android è il fatto che Flash Player sia compatibile solo con la versione 2.2 del sistema operativo, e non è preinstallato.
Solo chi l'ha scaricato e lo usa abitualmente potrebbe finire per essere vittima di un attacco. Un numero esiguo di utenti probabilmente, visto che a oggi questo plug-in ha ancora un funzionamento discutibile.
La soluzione Microsoft forza l'ASLR, risolvendo il problema.
Per gli utenti Windows invece Microsoft ha comunicato che si può usare EMET 2.0 (Enhanced Mitigation Experience Toolkit 2.0) per arginare il problema. Basta scaricare e installare il prodotto, per poi eseguire un semplice comando da amministratore (C:\Program Files (x86)\EMET>emet_conf.exe --add "c:\program files (x86)\Adobe\Reader 9.0\Reader\acrord32.exe, la collocazione del programma potrebbe essere diversa sul vostro sistema).
Questo strumento forza l'applicazione della tecnica ASLR (Address Space Layout Randomization, impostazione casuale degli indirizzi), così che il software malevolo non sia in grado di accedere al codice di cui ha bisogno. La tecnica ASLR, purtroppo, non è ancora presente sui sistemi operativi mobile in circolazione.