Google afirma que sites podem ser atacados por falha no Adobe Flash Player

Pouco depois de a Adobe Systems ter corrigido uma séria falha no software de desenvolvimento Flash, ainda há milhares de sites com erro em arquivos no Shockwave Flash, que podem ser invadidos por crackers, revelou um analista do Google na quinta-feira (27/03).

Diversas ferramentas de desenvolvimento do Flash criaram arquivos que podem ser usados por crackers para fazer um ataque do tipo cross-site scripting (XSS), que obriga o browser a executar códigos nocivos. Esse tipo de ataque é usado para phishing, mas também oferece caminhos para acesso a contas de banco da vítima. Segundo o engenheiro de segurança do Google, Rich Cannings, mais de dez mil sites estão infectados.

Ele percebeu o problema no site do Google e procurou pelo responsável: um funcionário que estava usando o Dreamweaver para criar arquivos em Flash.

O bug estava em outras ferramentas do Flash e a Adobe rapidamente corrigiu as falhas depois delas terem sido reveladas por Cannings. O problema é que todos os arquivos criados antes da correção ainda representam risco.

O Google moveu todas suas animações em Flash para seus servidores web que usavam endereços de Internet Protocol (IP), em vez do domínio Google.com. Isso resolveu o problema para eles. “Os engenheiros nem tentaram corrigir a falha por que isso seria um grande desafio”, disse Cannings.

Mas para outras empresas, mover animações em Flash para um domínio diferente é algo impossível. Elas provavelmente terão que refazer seus arquivos em Flash – uma tarefa cara, normalmente feita por terceiros.

“Preocupados com a possibilidade de contas de seus clientes serem infectadas por meio desse tipo de ataque, bancos estão eliminando arquivos de Flash vulneráveis”, afirmou Cannings.

Crackers não estão explorando esse tipo de falha no momento. Na verdade, Cannings acredita que essas falhas foram superestimadas nos últimos meses. Para sites como o Google, que contêm informações de usuários, elas de fato representam uma ameaça. 

Segundo Cannings, só a Adobe é capaz de resolver o problema completamente. “Mesmo que isso seja um desafio técnico, poderiam ser feitas mudanças no software Adobe Flash Player que bloqueiem esse tipo de ataque”, ele sugeriu.