Adobe ha rilasciato ieri un aggiornamento di Flash Player che va a correggere una grave vulnerabilità scoperta dal ricercatore Paulos Yibelo, che affligge tutte le versioni di Flash Player, eccetto l’ultima che è la 24.0.0.186
Il problema sta che, una volta consentito l’utilizzo di flash player (ad esempio in siti di videochat o semplicemente per l’accesso al microfono, webcam ecc tramite flash) in un sito, questo permesso viene esteso anche ad altri siti, anche quelli di origine dubbia o dannosa, cosa che può esser usata in modo fraudolento da un malintenzionato per spiarci tramite webcam o microfono.
Il ricercatore porta un esempio di chat o simili in Facebook, il quale usa una connessione HTTPS, invece Flash Player consente l’accesso anche tramite HTTP (quindi non usando una connessione sicura), cosa che potrebbe consentire ad un attaccante locale di infettare il sistema tramite un applet java malevolo costruito ad hoc.
Invitiamo quindi ad aggiornare il componente di Flash Player partendo da qui
In aggiunta, Microsoft ha annunciato che con il prossimo major update (Creator Update) i contenuti Flash non si attiveranno automaticamente (ora questa funzionalità, introdotta con la versione 1607, è limitata alla pubblicità) e dovrà esser l’utente a cliccare manualmente sul contenuto per attivarlo. Stessa cosa è avvenute o sta avvenendo per Safari e Chrome, Firefox ha in programma di eseguirlo nel corso del 2017.