Adobe corrige bugs de flash, atacantes atacam usuários do Firefox

A Adobe corrigiu três novas falhas de segurança em seu quase onipresente Flash Player, dos quais dois já estavam sendo explorados na natureza. Os atacantes estavam visando especificamente os usuários do Mozilla Firefox, informou a empresa.

As duas vulnerabilidades de dia zero, CVE 2013-0643 e CVE 2013-0648, estavam sendo exploradas em ataques direcionados, nos quais os usuários eram enganados a clicar em um link para um site que hospedava arquivos Flash maliciosos, afirmou a Adobe em seu comunicado de segurança divulgado na terça-feira. A empresa não creditou nenhuma organização ou pesquisador que encontrou as vulnerabilidades de dia zero, mas creditou o IBM X-force por relatar o terceiro furo de segurança.

Os engenheiros de segurança da Adobe na RSA Conference também se recusaram a fornecer informações adicionais.

"A exploração do Cve 2013-0643 e do CVE 2013-0648 foi projetada para atingir o navegador Firefox", disse a Adobe no comunicado.

Os invasores podem acionar as vulnerabilidades, causando o travamento do Flash Player e ganhando controle remoto do computador, afirmou a Adobe. Os erros de dia zero estão relacionados a um problema de permissões na sandbox do Flash Player Firefox e a uma falha no recurso ExternalInterface ActionScript, que pode ser explorado para executar códigos maliciosos. O terceiro, que ainda não está sendo explorado, foi uma vulnerabilidade de estouro de buffer em um serviço de corretor do Flash Player e poderia ser usado para executar códigos maliciosos, disse a Adobe.

A atualização afeta todas as versões do Flash no Windows, Mac OS X e Linux. Os usuários podem fazer o download da versão mais recente no site da Adobe ou ativar as atualizações em segundo plano e deixar que o software pegue a versão automaticamente. O Google e a Microsoft atualizarão o Flash no Chrome e no Internet Explorer 10 (para Windows 8) separadamente.

Esta atualização do Flash é o segundo patch fora de banda do Flash Player este mês, o terceiro patch da Adobe no mês de fevereiro e o quarto patch lançado em 2013 até agora.

Faz quase um ano que a Adobe ativou as atualizações automáticas para Flash e Reader, e a taxa de atualização tem sido tremenda, disse Brad Arkin, diretor sênior de segurança e privacidade da Adobe, ao SecurityWatch na RSA Conference. O modelo anterior, no qual os usuários foram solicitados a baixar as atualizações mais recentes, não era suficiente para fazer com que os usuários corrigissem o Flash Player, disse Arkin. Com a mudança para atualizações em segundo plano, a taxa de sucesso tem sido significativa.

Para ver todas as postagens de nossa cobertura da RSA, consulte a página Mostrar relatórios.