Adobe, per Flash 9 arriva la patchanti-clickjacking.

Scritto da Guido Sintoni.

Non solo nuove funzioni per tenere a distanza Silverlight 2 , ma anche un'importante miglioria per la sicurezza: l'ultima release di Adobe Flash Player, la 10, mette al riparo gli utenti dai rischi legati al clickjacking.

"Flash Player 10 - scrive David Lenoe sul blog di Adobe Product Security Incident Response Team - risolve del tutto gli aspetti legati a problemi di clickjacking [.] e comprende ulteriori aggiornamenti legati alla sicurezza". Tutto bene, quindi? Beh, quasi: "Per chi non pu eseguire l'upgrade a Flash Player 10, un aggiornamento di Flash Player 9  previsto all'inizio di novembre". Insomma: pur con i necessari distinguo, il rischio si protrarr per qualche tempo ancora, anche perch si tratta di correggere una vulnerabilit definita critica dalla stessa Adobe.

Da qualche settimana le tecniche di attacco legate al clickjacking sono alla ribalta: Flash non  il solo software che ne soffre, ma  probabilmente quello pi facilmente sfruttabile in questo senso. Sono stati i ricercatori Robert Hansen e Jeremiah Grossman a sollevare il problema lo scorso settembre, evitando di rivelare ulteriori particolari perch Adobe si era appellata alla responsible disclosure , chiedendo tempo per preparare le correzioni.

Cosa che effettivamente  avvenuta: nel blog, Adobe non dimentica di ringraziare i due ricercatori. In un attacco basato su clickjacking, l'attaccante usa tecniche molteplici finalizzate alla presa di controllo della macchina: nella dimostrazione di Hansen e Grossman, un link maligno riesce a richiamare con successo un oggetto Flash che abilita alla trasmissione la webcam della vittima senza che questi se ne accorga. Per Hansen, " pressoch impossibile per un utente stabilire cosa pu succedere cliccando su un link maligno".

"Il clickjacking riguarda principalmente i plug-in dei browser - ha concluso Hansen - e il miglior modo per affrontare il problema  cambiare il modo in cui questi ultimi funzionano. Chi realizza browser Web ha capito il problema e sta gi cercando rimedi". Che si possono tradurre in ulteriori plug-in per il controllo selettivo degli script:  il caso di NoScript per Firefox , il cui lancio risale a pochi giornifa.

Guido Sintoni.


