Engenheiro da Google descobre brecha que permite roubo de credenciais. Usuários do Safari, Firefox e Opera precisam instalar manualmente a correção liberada pela Adobe
Uma nova ferramenta de hacking batizada de Rosetta Flash, que foi divulgada hoje por Michele Spagnuolo, um engenheiro de segurança da Google na Suíça, coloca em risco todos os computadores que utilizam plug-in Flash Player, da Adobe, por tornar possível roubo de credenciais de um computador utilizando uma falha do Flash a partir de um arquivo malicioso SWF baixado da web.
A correção para a falha do Flash, que bloqueia possíveis ataques, foi liberada pela Adobe hoje e contém três ajustes, sendo que o mais importante é o que conserta a brecha recém-descoberta. Usuários do Google Chrome e das versões 10 e 11 do Internet Explorer (IE11 e IE10) da Microsoft não precisam se preocupar pois os browsers têm o plug-in embutido e fazem a atualização automática sempre que há update da Adobe.
Mas usuários de versões anteriores ao IE10 e usuários dos navegadores Safari, Firefox e Opera precisam correr para o site da Adobe para fazer o download e a instalação da correção manualmente, alertam os especialistas em segurança.
"Se você usa IE10 e IE11 pode colocar o Flash em segundo plano porque o browser faz isso automaticamente. Sua prioridade número um é instalar as 24 correções liberadas hoje pela Microsoft na Patch Tuesday de julho", diz Wolfgang Kandek, CTO da Qualys, referindo-se aos seis boletins de updates que fazem parte do pacote liberado pela Microsoft hoje.
Roubo de log-on
A ferramenta Rosetta Flash criada por Spagnuolo é capaz de criar arquivos .SWF maliciosos que, ao ser descarregados para o computador do usuário a partir de sites infectados na web, exploram uma vulnerabilidade do Flash e permitem ao invasor roubar credenciais de log-on do usuário para vários sites e serviços de internet, incluindo eBay, Instagram and Tumblr.
A falha foi identificada com o nome de CVE-2014-4671 na lista de Common Vulnerabilities and Exposures. A extensão .swf dos arquivos deriva do ShockWave Flash, programa que antecedeu o atual Flash, e cujo formato portanto é suportado por ele. Cibercriminosos podem atrair usuários para visitar sites que hospedem um arquivo malicioso gerado em Rosetta Flash que pode roubar senhas.
Primeiro em casa
Spagnuolo alertou primeiro sua empresa, Google, sobre a vulnerabilidade, antes de publicar o documento divulgando a ferramenta. Isso deu ao Google tempo para corrigir vários de seus serviços, incluindo Maps, Accounts - que permite o log-in em todas a ferramentas Google - e YouTube. "Por causa da alta sensibilidade dessa vulnerabilidade eu avisei primeiro internamente e depois ao pessoal da Adobe PSIRT (Product Incident Response Team)", admite Spagnuolo.
Alguns dias depois, antes de liberar o código e publicar o post no meu blog, eu também notifiquei o Twitter, eBay, Tumblr e Instagram", diz o engenheiro em seu post. Segundo ele, o Twitter também já endereçou o problema.
O engenheiro da Google também publicou no seu blog os passos que os donos de websites precisam tomar para bloquear ou derrubar exploits.
Reforço na segurança
O update da Adobe modificou a forma como o Flash Player lida com arquivos SWF permitindo que ele reconheça arquivos estranhos que possam ter sido criados pelo Rosetta Flash. "Esses updates incluindo validação adicional para garantir que o Flash Player rejeite conteúdo malicioso que tente explorar o CVE-2014-4671", escreveu a Adobe no seu boletim de segurança de hoje.
"Esse problema está agora definitivamente na rua, com o código liberado para o público", alertou Ross Barrett, gerente sênior da empresa de segurança Rapid7, por email. "Usuários de Flash precisam corrigir imediatamente o arquivo."
