Adobe chiude 13 falle in Flash ma un ingegnere di Google litiga sui crediti

Adobe ha rilasciato Falsh Player 10.3.183.5, una nuova versione del plug-in per Safari, Firefox e Opera che permette di vedere i contenuti multimediali che si trovano sui siti Web. Stando alle note di rilascio, l’update chiude 13 falle di sicurezza ritenute “critiche”, ma Tavis Ormandy, un ingegnere esperto in sicurezza informatica di Google, che lavora a stretto contatto con Google (Chrome include una versione di Flash ad hoc), ha contestato con un messaggio su Twitter il numero di falle che l’aggiornamento in realtà chiude.

“Adobe ha risolto circa 400 vulnerabilità che ho segnalato nel bollettino di sicurezza APSB11-21“, si legge nel tweet di Ormandy, che precisa “Non è un errore di battitura”.

Ormandy è rimasto evidentemente deluso che non è stato menzionato per le sue segnalazioni di bug nel bollettino, che comunque include un riferimento al suo lavoro: “Adobe desidera anche ringraziare Tavis Ormandy e il team di Google Chrome per il loro grande lavoro svolto per migliorare questa versione di Flash Player”.

In risposta al primo tweet di Ormandy, Wiebke Libs, senior manager of corporate communications di Adobe, ha utilizzato il servizio di micro-blogging per precisare: “Tavis, per favore non confondere semplici file con le vulnerabilità. Qual è l’agenda di Google qui?”.

“Non so cosa sia l’agenda di Google, ma la mia agenda è ottenere il credito per il mio lavoro e per le vulnerabilità documentate”, ha replicato Ormandy, che poi ha accusato Adobe di cercare di “seppellire i risultati”, perché 400 vulnerabilità è una cifra “imbarazzante”.

L’anno scorso, Ormandy e Microsoft sono stati protagonisti di una dura polemica perché Adobe aveva reso pubblica la scoperta di una vulnerabilità zero-day individuata in Windows XP prima che Microsoft potesse rilasciare una patch.

Indizi di un possibile battibecco tra Google e Adobe si erano avuti all’inizio della giornata, quando con diverse ore d’anticipo rispetto al rilascio dell’aggiornamento di Flash da parte di Adobe, Google ha reso disponibile le nuove versioni “stabile” e “beta” di Chrome 13 e Chrome 14, rispettivamente. Entrambi includono una versione aggiornata di Flash Player.

Sul blog che annuncia le nuove versioni di Chrome, Google ha dichiarato: “Il team di Chrome desidera ringraziare soprattutto Tavis Ormandy, il Security Team di Google, e Google per aver speso una grande quantità di tempo e di potenza di calcolo per individuare un numero significativo di vulnerabilità che sono state risolte in questa versione di Flash Player”.

Tornando al bollettino di sicurezza APSB11-21, Adobe elenca 13 vulnerabilità, di cui cinque sono bug di “corruzione ella memoria”, altri cinque come “buffer overflow” e tre “integer overflow”. Tutti i bug sono considerati critici.

Adobe ha anche aggiornato Flash Media Server, CSS Photoshop, RoboHelp e Shockwave Player.

Flash Player 10.3.183.5 per Windows, Mac OS X, Linux e Solaris, si può scaricare dal sito Web di Adobe. In alternativa, gli utenti Mac possono effettuare l’aggiornamento anche tramite il pannello Flash Player delle Preferenze di Sistema (che al momento di pubblicare questo articolo, non segnala la presenza della nuova versione)..