Ataque ativo do Flash, Adobe Alerta

Uma vulnerabildade crítica do dia-zero afeta a versão mais recente do Flash, Reader e Acrobat, embora aparentemente não afete o Reader X do Windows.

A Adobe disse nesta semana que invasores podem explorar o bug para travar ou controlar o sistema. Segundo a companhia, todas as versões do Flash 10.x para Windows, Macintosh, Linux, Solaris e Android são vulneráveis.

Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail

Conforme a consulta de segurança, “há relatórios que esta vulnerabilidade é explorada em ataques direcionados por meio do Flash (.swf) e arquivos incorporados no Microsoft Excel (.xls) entregues como anexo de e-mail”. E como o Flash Player também está integrado ao Adobe Reader e Acrobat, os dois produtos também estão em risco. No entanto, até a presente data esta vulnerabilidade aparentemente não foi explorada usando tais produtos.

São necessárias algumas ações do usuário para que o ataque tenha sucesso. “O alvo deve abrir um arquivo XLS malicioso”, disse o pesquisador em segurança da Karpersky Lab, Roel Schouwenberg, em uma postagem de blog. Ele confirmou que a vulnerabilidade pode ser explorada no sistema Window XP. Enquanto o ataque parece não funcionar no sistema Windows 7, ele alertou que os invasores podem facilmente adaptá-lo, usando técnicas de programação de retorno orientada.

Ainda não existe patch para essa vulnerabilidade, apesar dos planos do Adobe de lançar correção para alguns produtos durante a semana de 21 de março. Essa atualização irá corrigir o Flash Player 10.x (e versões anteriores) para Windows, Macintosh, Linux, Solaris e Android, bem como o Reader X no Macintosh e o Reader 9.4.2 (e versões anteriores) no Windows.

Curiosamente, a Adobe não planeja correções para o Adobe Reader X até 14 de junho de 2011, que é a data de sua programação atual para o lançamento de seu próximo patch trimestral. Isso porque o modo protegido do software – codinome sandbox – não deve permitir que essa exploração seja executada, justificou.

Mas com a notícia da vulnerabilidade vindo à tona, alguns pesquisadores de segurança questionam por que ninguém nunca precisou rodar um arquivo Shockwave de uma planilha do Excel. “Isso é um exemplo claro de muita funcionalidade em um produto, que acaba levando a problemas de segurança”, disse um analista da Kaspersky. “Então, seria ótimo se a Microsoft nos permitisse desligar esses excessos de recursos. Ou, como alternativa, a Adobe poderia rejeitar essa integração para reduzir a superfície de ataque”.