Le recenti vulnerabilità di sicurezza identificate in prodotti di NVIDIA, Adobe, Cisco, Microsoft e F-Droid mettono in allarme aziende e utenti finali, con impatti che spaziano dal rischio di esecuzione di codice arbitrario al crash improvviso di applicazioni enterprise. Gli esperti sottolineano che queste falle espongono dati sensibili e infrastrutture a minacce concrete, rendendo indispensabili aggiornamenti immediati. NVIDIA affronta difetti nei tool CUDA, Adobe segnala corruzione di dati in Analytics, Cisco corregge gravi casi di XSS, Microsoft risolve un bug che blocca Classic Outlook e F-Droid denuncia restrizioni imposte da Google che minacciano l’ecosistema open-source. Questi episodi dimostrano come la sicurezza software resti un terreno critico e in rapida evoluzione, con attacchi sempre più mirati agli input non validati e alle configurazioni deboli.
Cosa leggere
NVIDIA e la falla critica in cuobjdump
NVIDIA ha corretto una vulnerabilità di sicurezza in cuobjdump 12.8.55, identificata come CVE-2025-23339. Il difetto risiede in un parsing DWARF difettoso, sfruttabile tramite file fatbin malevoli per ottenere esecuzione di codice arbitrario. La falla, che colpisce il CUDA Toolkit, permetteva accessi non autorizzati a sistemi di sviluppo GPU. L’azienda ha distribuito patch e aggiornamenti firmware, invitando gli utenti a scaricare le versioni corrette dal sito ufficiale e a riavviare i sistemi per completare la procedura. Gli esperti hanno inoltre consigliato di isolare temporaneamente i sistemi vulnerabili, vista la possibilità di furti di dati tramite exploit precedenti. NVIDIA ha pubblicato un bollettino tecnico con istruzioni per verificare la versione installata e guidare la remediation.
Vulnerabilità multiple in NVIDIA nvdisasm
Parallelamente, NVIDIA ha gestito quattro vulnerabilità in nvdisasm 12.8.90, tutte connesse alla gestione dei file ELF. CVE-2025-23338 deriva da una validazione impropria degli indici di array e consente scritture out-of-bounds. CVE-2025-23340 interessa il parsing RELA e abilita l’esecuzione di codice, mentre CVE-2025-23271 comporta un heap buffer overflow nel parsing REL. Infine, CVE-2025-23308 è legato a un parsing difettoso degli header REL e apre la strada a ulteriori esecuzioni arbitrarie. Queste falle, tutte relative al CUDA Toolkit, sono state risolte con patch ufficiali. NVIDIA ha invitato gli sviluppatori a evitare file non fidati e a verificare attentamente gli input, considerando il rischio di compromissione degli ambienti di sviluppo.
Bug in Adobe Analytics e corruzione dati
Un grave bug software ha colpito Adobe Analytics, provocando la mescolanza di dati tra diversi tenant. L’errore ha coinvolto le pipeline di Data Collection e Media Processing, causando la corruzione del 3-5% dei dati registrati. Nei report Workspace sono comparsi valori errati, incluse email e hash di sessione, con conseguenze dirette anche su prodotti downstream come Customer Journey Analytics. Adobe ha individuato l’anomalia il 17 settembre 2025, revertendo rapidamente la modifica il giorno successivo. Agli utenti è stato chiesto di eliminare i dataset ricevuti tra le 12:20 UTC del 17 e le 11:00 UTC del 18. Oltre alla perdita di affidabilità, l’incidente ha sollevato preoccupazioni di conformità al GDPR, costringendo Adobe a fornire istruzioni di purge anche per i backup. L’azienda ha comunicato che i report sarebbero tornati validi solo dopo la completa pulizia dei dataset corrotti.
XSS persistenti nei sistemi Cisco
Cisco ha pubblicato due advisory separati per affrontare casi di XSS persistente in prodotti enterprise. Nel Unified Communications Manager, il difetto CVE-2025-20361 consente a un attaccante di iniettare script malevoli attraverso l’interfaccia web, con potenziali impatti su utenti con privilegi elevati. Il punteggio CVSS di 4.8 evidenzia rischi per riservatezza e integrità. Un secondo caso riguarda Cisco Cyber Vision Center, con le vulnerabilità CVE-2025-20356 e CVE-2025-20357. In questo caso, l’iniezione di codice avviene tramite input non sanitizzati, raggiungendo un punteggio CVSS di 5.4. In entrambi i casi non sono disponibili workaround, motivo per cui Cisco ha raccomandato l’applicazione immediata delle patch fornite. Trattandosi di piattaforme critiche per comunicazioni e monitoraggio OT, il rischio operativo viene considerato elevato.
Crash e blocchi in Microsoft Classic Outlook
Un problema indipendente ma altrettanto rilevante ha colpito Microsoft Classic Outlook. Gli utenti hanno segnalato crash all’avvio e errori di autenticazione che impedivano l’accesso alle caselle Exchange. L’anomalia, riconducibile a limiti di concurrency, ha interessato diversi clienti Microsoft 365 su Windows. L’azienda ha avviato un’indagine per identificare la root cause e ha consigliato come workaround l’uso di New Outlook o della versione web. Nel frattempo, i team di supporto hanno ricevuto un numero crescente di ticket, mentre gli utenti hanno dovuto attendere una patch permanente. La criticità del problema deriva dall’impatto diretto sui flussi di lavoro aziendali, poiché la posta elettronica rappresenta un servizio centrale per la produttività quotidiana.
Pressioni su F-Droid dalle nuove regole Google
Infine, F-Droid si trova a rischio a causa delle nuove regole introdotte da Google per l’ecosistema Android. Dal 2026, gli sviluppatori dovranno registrarsi presso Google per distribuire applicazioni sui dispositivi certificati, una policy che di fatto penalizza i marketplace alternativi. F-Droid, basato su software open-source e su sviluppatori indipendenti, rischia di vedere bloccate molte distribuzioni. Gli utenti potrebbero ricevere avvisi di sicurezza al momento dell’installazione, mentre solo i piccoli progetti hobbistici godrebbero di esenzioni. La misura, secondo i sostenitori del software libero, minaccia la libertà di distribuzione e riduce la concorrenza, pur essendo giustificata da Google come risposta alla proliferazione di malware. F-Droid ha già sollecitato interventi dei regolatori e ha avviato campagne di sensibilizzazione per difendere la sopravvivenza della piattaforma.
