Apareceu alguma janelinha aí informando sobre uma atualização do Flash? Se sim, evite fechar o aviso como você já fez várias vezes (eu sei!) e instale a nova versão do plugin imediatamente. Uma prova de conceito mostra que é possível modificar um arquivo do Flash para enviar requisições a páginas comprometidas, resultando em um potencial roubo de dados sensíveis do usuário.

O problema foi exposto por Michele Spagnuolo, engenheiro de segurança da informação do Google, em seu blog pessoal. A prova de conceito, chamada Rosetta Flash, tornaria possível converter qualquer arquivo binário do Flash para um arquivo malicioso composto apenas por letras e números. Esse arquivo é capaz de usar o Flash do navegador do usuário para acessar cookies e outros dados armazenados por sites que usam o JSONP, uma técnica que permite a comunicação de dados entre diferentes servidores.

rosetta-flash

Com acesso aos cookies, o arquivo malicioso pode enviar requisições a uma página comprometida como se você estivesse fazendo as tais requisições. Ou seja, um criminoso poderia ter acesso a dados sensíveis, o que em condições normais só seria possível com a sua senha em mãos. Esse problema já era conhecido, mas ninguém nunca ligou muito para ele porque não havia ferramentas conhecidas capazes de realizar a conversão do arquivo Flash.

Ainda vai demorar para que todos os usuários instalem a nova versão do Flash, portanto, Spagnuolo sugeriu uma correção a ser realizada nos próprios serviços web, para que a brecha não possa ser explorada. Os serviços do Google já ganharam a correção para bloquear a falha. Twitter, Instagram, Tumblr e eBay também permitiam a exploração da vulnerabilidade, e foram notificados do problema.

Mas se você não quer esperar os serviços fazerem suas próprias correções, é bom atualizar o plugin do Flash no seu computador. Chrome e Internet Explorer 10 ou superior possuem embutido o plugin do Flash, então você não precisa fazer nada: basta instalar as correções distribuídas por Google e Microsoft. Se você usa Firefox, Safari ou outro navegador, acesse esta página da Adobe e baixe a nova versão.

Você pode verificar qual é a versão do seu Flash nesta página da Adobe. A versão que corrige o problema é a 14.0.0.145 para Windows e OS X ou a 11.2.202.394 para Linux (a Adobe descontinuou o Flash para Linux, mas continua oferecendo atualizações de segurança) — o novo Flash faz verificações de segurança adicionais para impedir as requisições maliciosas. A falha descoberta foi classificada pela Adobe como prioridade 1, a pior possível.

Com informações: Ars Technica.

Leia | Como acessar sites antigos com Adobe Flash Player

Responde

Com o fim do suporte ao Flash Player a partir de 2021, a Adobe recomenda que os usuários excluam o software do computador
Como desinstalar o Adobe Flash Player
O fim de uma era; entenda por que o Adobe Flash Player está bloqueado e saiba o significado dessas mensagens no PC
O Adobe Flash Player está bloqueado? Saiba o que significa
O flash não carregou no Chrome? Saiba como desbloquear o Adobe Flash Player e voltar a ver animações em sites usando o navegador
Como desbloquear o Adobe Flash Player no Chrome
Tecnologia ultrapassada; saiba como acessar sites antigos com Adobe Flash Player quais métodos mais seguros de uso
Como acessar sites antigos com Adobe Flash Player

Relacionados

Veja como ativar e desativar o flash player no navegador Firefox, e utilize o plugin em sites que ainda não abriram mão dele
Como ativar o Adobe Flash Player no Firefox
Manter dispositivos atualizados, usar senhas fortes e desconfiar de e-mails e links suspeitos são algumas práticas que ajudam a se proteger de crimes cibernéticos
O que é um crime cibernético? Saiba os tipos de crimes virtuais e como se proteger
Dispositivos IoT — Internet das Coisas — conectados de maneira insegura podem ser um risco para os usuários
Como proteger dispositivos IoT [smart TVs, speakers e câmeras IP]
Barreira de proteção; saiba o que é um firewall, quais são suas características e qual a diferença para um antivírus
O que é um firewall? [E a diferença para um antivírus]

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.