Adobe Flash un rischio per la sicurezza degli utenti

Il plug-in Flash di Adobe Systems è di nuovo al centro di discussioni legate alla sua sicurezza, dopo che un dirigente di Facebook ha chiesto che venga terminato il supporto del software nei browser web.

"E’ tempo per Adobe di annunciare la data di fine del ciclo di vita per Flash e chiedere ai browser di disattivarlo lo stesso giorno", ha detto il capo della sicurezza di Facebook Alex Stamos in un tweet condiviso Domenica. Stamos è passato in Facebook il mese scorso dopo meno di un anno di lavoro in Yahoo.

Inoltre, dall’ultima versione del browser Firefox, Mozilla ha deciso di bloccare il plug-in di Adobe. Mark Schmidt, capo del team di supporto di Firefox di Mozilla, ha condiviso via Twitter la notizia che tutte le versioni di Flash Player dall’ultima in poi saranno bloccate nel browser, chiarendo che il software tornerà ad essere abilitato solo quando Adobe rilascerà una versione che non può essere violata da vulnerabilità note.

In passato, Mozilla ha già bloccato nel suo browser Flash, Java, e una serie di altri plugin e software quando sono stati trovati dei bug di sicurezza. Schmidt ha anche osservato che gli utenti di Firefox possono comunque scegliere di attivare Flash manualmente, se lo desiderano, andando nel menu delle impostazioni.

Hacker sfruttano bug di Flash e Windows per spiare altri Governi

La richiesta di Facebook di terminare flash e la decisione di bloccare di default il plugin nelle prossime versioni del browser Firefox fino a quando Adobe non risolverà i bug noti arrivano due settimana dopo che un attacco informatico ha permesso ad hacker di rubare 400GB di documenti interni della HackingTeam, una società di sicurezza italiana che aiuta i governi e altre organizzazioni a rubare informazioni con software spia. Tali documenti hanno incluso delle informazioni per lo sfruttamento di bug in Flash.

Da allora, i ricercatori indipendenti hanno trovato almeno tre metodi di attacco possibili utilizzando il software di Adobe per i browser web. Ora, anche HackingTeam avverte gli sviluppatori e le aziende di evitare di utilizzare flash.

"Prima dell’attacco, HackingTeam poteva controllare chi aveva accesso alla tecnologia, che è stata venduta esclusivamente ai governi e alle agenzie governative. Ora, a causa della violazione, la capacità di controllare chi utilizza la tecnologia si è persa", ha detto la società in un comunicato stampa datato 8 luglio e come riportato da cnet.com. "I terroristi, estorsori e altri possono implementare questa tecnologia a volontà se hanno la capacità tecnica di farlo. Crediamo che questa sia una situazione estremamente pericolosa".

Adobe non ha ancora rilasciato patch per il suo software.

Hacking Team, online 400 GB di dati governativi

Le più grandi aziende del web hanno lentamente ritirato il supporto del software di Adobe nel corso degli ultimi anni. YouTube non usa più Flash come lettore predefinito a favore di HTML5 nel mese di gennaio di quest’anno, e Chrome controlla ogni istanza di Flash sulle pagine. Persino Adobe ha terminato lo sviluppo di Flash Player per dispositivi mobili nel 2012, riconoscendolo inferiore al nuovo standard HTML5. Quanto succede in queste due settimane potrebbe essere l’inizio della fine per il software.

Come proteggersi? Il nostro consiglio è di disattivare il plugin Flash nel proprio browser. Nel caso di chrome, bisogna digitare nella barra degli indirizzi chrome://plugins e quindi cliccare ‘disabilita’ alla voce ‘flash’. In caso di Firefox, con le nuove versioni il browser disattiva il plugin in automatico, ma è possibile controllare nelle Impostazioni l’effettiva disattivazione.

tweet di Mark Schmidt contro Adobe Flash