|
O centro de segurança norte-americano US-CERT emitiu alerta sobre uma vulnerabilidade crítica encontrada em várias versões do Flash, software da Adobe Macromedia para criação de páginas Web animadas, encontrado também em produtos relacionados, como o Breeze e o Shockwave Player. Se explorada com sucesso, essa vulnerabilidade permite a execução de códigos não-autorizados ou ataques DoS (negação de serviço) na máquina vulnerável.
O US-CERT chama atenção ainda para o fato de que alguns sistemas operacionais, como o Windows, podem ter versões vulneráveis do componente Flash instaladas por padrão, o que deixa mais máquinas em risco de invasão. A princípio, todos os sistemas operacionais que tenham navegadores Web com o componente Flash estão vulneráveis.
Para realizar um ataque, é necessário que o atacante coloque um arquivo Flash malicioso em um site da Web e que o usuário da máquina vulnerável seja induzido a executá-lo. Nesse caso, o atacante teria o poder de rodar qualquer código de sua escolha com todos os privilégios que o usuário logado tiver no sistema afetado. Caso seja um administrador, o atacante teria acesso completo à máquina.
Os softwares afetados, que podem estar rodando em sistemas operacionais Windows, Mac OS X, Linux, Solaris, entre outros, são:
# Flash Player 8.0.22.0 e versões anteriores
# Flash Professional 8
# Flash Basic
# Flash MX 2004
# Flash Debug Player 7.0.14.0 e versões anteriores
# Flex 1.5
# Breeze Meeting Add-In 5.1 e versões anteriores
# Adobe Macromedia Shockwave Player 10.1.0.11 e versões anteriores
Já existem atualizações para corrigir o problema, encontradas na página www.macromedia.com/devnet/security/security_zone/apsb06-03.html. Outra solução é desabilitar o componente Flash até que a atualização esteja instalada corretamente. A Microsoft oferece em seu site instruções detalhadas (em inglês) sobre como desativar o Flash no Windows.
|
