Arquivo Antivírus e Segurança

Atualize seu Flash: falha de segurança permite roubo de dados

Paulo Higa
Por

As melhores ofertas,
sem rabo preso

Apareceu alguma janelinha aí informando sobre uma atualização do Flash? Se sim, evite fechar o aviso como você já fez várias vezes (eu sei!) e instale a nova versão do plugin imediatamente. Uma prova de conceito mostra que é possível modificar um arquivo do Flash para enviar requisições a páginas comprometidas, resultando em um potencial roubo de dados sensíveis do usuário.

O problema foi exposto por Michele Spagnuolo, engenheiro de segurança da informação do Googleem seu blog pessoal. A prova de conceito, chamada Rosetta Flash, tornaria possível converter qualquer arquivo binário do Flash para um arquivo malicioso composto apenas por letras e números. Esse arquivo é capaz de usar o Flash do navegador do usuário para acessar cookies e outros dados armazenados por sites que usam o JSONP, uma técnica que permite a comunicação de dados entre diferentes servidores.

rosetta-flash

Com acesso aos cookies, o arquivo malicioso pode enviar requisições a uma página comprometida como se você estivesse fazendo as tais requisições. Ou seja, um criminoso poderia ter acesso a dados sensíveis, o que em condições normais só seria possível com a sua senha em mãos. Esse problema já era conhecido, mas ninguém nunca ligou muito para ele porque não havia ferramentas conhecidas capazes de realizar a conversão do arquivo Flash.

Ainda vai demorar para que todos os usuários instalem a nova versão do Flash, portanto, Spagnuolo sugeriu uma correção a ser realizada nos próprios serviços web, para que a brecha não possa ser explorada. Os serviços do Google já ganharam a correção para bloquear a falha. Twitter, Instagram, Tumblr e eBay também permitiam a exploração da vulnerabilidade, e foram notificados do problema.

Mas se você não quer esperar os serviços fazerem suas próprias correções, é bom atualizar o plugin do Flash no seu computador. Chrome e Internet Explorer 10 ou superior possuem embutido o plugin do Flash, então você não precisa fazer nada: basta instalar as correções distribuídas por Google e Microsoft. Se você usa Firefox, Safari ou outro navegador, acesse esta página da Adobe e baixe a nova versão.

Você pode verificar qual é a versão do seu Flash nesta página da Adobe. A versão que corrige o problema é a 14.0.0.145 para Windows e OS X ou a 11.2.202.394 para Linux (a Adobe descontinuou o Flash para Linux, mas continua oferecendo atualizações de segurança) — o novo Flash faz verificações de segurança adicionais para impedir as requisições maliciosas. A falha descoberta foi classificada pela Adobe como prioridade 1, a pior possível.

Com informações: Ars Technica.

Paulo Higa

Editor-executivo

Paulo Higa é jornalista, com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. Trabalha no Tecnoblog desde 2012, viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. É coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Mais Populares

Responde

Relacionados

Em destaque