Adobe ha pubblicato sul proprio blog "Adobe Product Security Incident Response Team (PSIRT)" la notizia di una vulnerabilità per la quale risulta disponibile in Rete un exploit, che interessa le attuali versioni di Flash Player (v9.0.159.0 and v10.0.22.87) per Windows, Macintosh e UNIX. In base alle attuali informazioni la vulnerabilità (CVE-2009-1862) può causare condizioni di denial of service e l'esecuzione di codice arbitrario se l'utente apre un file SWF appositamente predisposto o un file PDF che integra contenuti multimediali shockwave riprodotti automaticamente. Per il momento si ha notizia soltanto di attacchi limitati che interessano esclusivamente Adobe Reader v9 per Windows.

La vulnerabilità segnalata si manifesta in Adobe ActionScript Virtual Machine ed interessa le librerie 'flash9f.dll' e 'authplay.dll'. In particolare risulta che il processo di allocazione e dimensionamento della memoria può essere alterato da un attaccante attraverso l'inserimento di valori arbitrari gestiti in maniera errata dalla funzione 'MethodEnv::findproperty' che consente,infine, l'esecuzione di codice arbitrario.
La vulnerabilità interessa il componente Flash player utilizzato in Adobe Reader ma può interessare anche versioni standalone di riproduttori di file Flash. Lo scenario di attacco ipotizzabile per sfruttare questa vulnerabilità prevede l'interazione da parte dell'utente che deve essere indotto ad aprire un file SWF appositamente predisposto dall'attaccante, oppure un file PDF che integri al proprio interno contenuti multimediali di tipo SWF. Il contesto di sicurezza interessato dall'esecuzione del codice arbitrario, quale conseguenza dell'attacco, è quello dell'utente che ha eseguito l'applicazione vulnerabile. Gli utenti che utilizzano Acrobat e Reader 9.x sono interessati dalla vulnerabilità sia che abbiano o meno installato anche Adobe Flash player in quanto il modulo interessato dalla vulnerabilità è incluso ed attivo per impostazione predefinita sulle attuali versioni di Acrobat e Reader.

Le versioni vulnerabili sono: Adobe Reader e Acrobat 9.1.2 e versioni precedenti della 9.x, Adobe Flash Player 9.0.159.0, 10.0.22.87 e precedenti alle versioni 9.x e 10.x.

Adobe segnala, inoltre, che è in procinto di rilasciare il software correttivo per questa vulnerabilità dal prossimo 30 Luglio per le versioni di Flash player per Windows, Macintosh e Linux. Per quanto riguarda, invece, la piattaforma Solaris non è ancora stata annunciata la data del rilascio del software correttivo. L'aggiornamento di sicurezza per Adobe Reader e Acrobat alla versione v9.1.2 è previsto per il 31 Luglio mentre per la piattaforma Unix ancora non è stata stabilità una data.

Un workaround per mitigare gli effetti di un potenziale attacco consistono nel rinominare o cancellare il file authplay.dll utilizzato da Adobe Reader e Acrobat v9.x. Alcuni utenti, tuttavia, con questo espediente potranno occorrere in situazioni di chiusura inaspettata dell'applicazione che non sono sfruttabili quando viene aperto un file PDF che integra contenuti multimediali di tipo SWF in grado di sfruttare la vulnerabilità. Tipicamente il file authplay.dll è memorizzato nel percorso C:\Programmi\Adobe\Reader 9.0\Reader\authplay.dll oppure  C:\Programmi\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Gli utenti di Windows Vista possono abilitare UAC (User Access Control) per mitigare l'impatto di un possibile exploit per questa vulnerabilità.
 
Symantec informa che l'exploit confezionato in un file PDF "malevolo" intercettato dalla propria Rete, causa il ridimensionamento delle finestre del sistema operativo e può essere un indice dell'attacco. Oltre a questo evento l'exploit rilevato da Symantec tenta di connettersi al dominio 'aop1.homelinux.com'.
Si raccomanda la massima cautela nel visualizzare file SWF seguendo collegamenti contenuti in messaggi di posta elettronica sconosciuti o non attesi oppure come risultato di ricerche sul web che rimandano a contenuti potenzialmente pericolosi. Adobe informa dei contatti in essere con i maggiori fornitori e produttori di antivirus per monitorare la propagazione di malware in grado di sfruttare questa vulnerabilità per il momento non ancora corretta.

Ulteriori dettagli:
http://blogs.adobe.com/psirt
http://www.adobe.com/support/security/advisories/apsa09-03.html
http://www.us-cert.gov/current/index.html#adobe_reader_acrobat_and_flash
http://www.us-cert.gov/reading_room/securing_browser/
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
http://bugs.adobe.com/jira/browse/FP-1265
http://www.securityfocus.com/bid/35759
http://www.symantec.com/connect/blogs/next-generation-flash-vulnerability
http://www.adobe.com/support/security/advisories/apsa09-03.htm