Adobe ha pubblicato un bollettino di sicurezza per correggere 7 vulnerabilità ritenute critiche (CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951) relative alla versione 10.0.32.18 e precedenti di Adobe Flash Player e alla versione 1.5.2 di Adobe AIR. Le vulnerabilità segnalate se sfruttate con successo da un attaccante consentono l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione oppure possono creare condizioni di Denial of Service o la compromissione della riservatezza dei dati.

Si raccomanda gli utenti di provvedere al tempestivo aggiornamento del software interessato esclusivamente attraverso il collegamento al sito web del produttore diffidando di installare aggiornamenti indicati in collegamenti presenti in messaggi di posta elettronica indesiderati o sospetti e soprattutto su siti web.

Particolarmente insidiosa per la sicurezza degli utenti, infatti, può risultare quest'ultima modalità che mira ad ingannare l'utente inducendolo a scaricare una versione malevola e fittizia del player di adobe per visualizzare un filmato o un contenuto multimediale altrimenti non disponibile su un sito web compromesso o realizzato ad hoc dall'attaccante.

In particolare il CERT-SPC informa come tale tecnica di ingegneria sociale possa sfruttare l'eco mediatica o l'interesse per alcuni eventi o temi di particolare attualità, come il vertice sull'ambiente di Copenaghen in corso, per indurre gli utenti a visualizzare filmati su siti web predisposti ai quali viene proposto l’installazione di finti aggiornamenti di sicurezza per poter accedere ai contenuti ricercati.

Si invitano gli utenti, pertanto, a riferirsi ai siti web noti e di fiducia ed ad installare aggiornamenti verificando sempre l'attendibilità della URL. Ulteriori dettagli circa l'aggiornamento di sicurezza sono disponibili presso le seguenti URL: http://www.adobe.com/support/security/bulletins/apsb09-19.html