Falha crítica do Flash expõe dados de usuários do YouTube, Instagram e outros

Por Sérgio Oliveira | 09 de Julho de 2014 às 15h03

Uma engenheira do Google resolveu arregaçar as mangas e provar à Adobe que o Flash possui uma falha grave que pode expor informações de login de usuários de diversos serviços que utilizam a tecnologia em risco.

A falha foi revelada por Michele Spagnuolo nesta terça-feira (08) em uma publicação do seu blog. Lá, ela não só descreve como a falha pode ser explorada, como também confirma que enviou a ferramenta "Rosetta Flash", que possibilita explorar o bug, para a plataforma colaborativa Github. De acordo com a engenheira, o problema afeta todas as versões do mais famoso player de vídeos anteriores à atualização 14.0.0.145 (11.2.202.394 para os usuários de Linux), lançada ontem mesmo.

Na publicação, Spagnuolo explica que a técnica utilizada consiste em converter arquivos SWF em outro composto somente por caracteres alfanuméricos. A partir daí, é possível manipulá-lo de maneira a disparar requisições em formato JSONP como se fosse um usuário autenticado em serviços do Google, YouTube, Twitter, Instagram e eBay. Em casos de requisições bem sucedidas, o cibercriminoso é capaz de obter acesso a dados sensíveis do usuário, como credenciais de acesso a esses serviços e cookies contendo informações de acesso a contas bancárias e de e-mails, por exemplo.

Segundo o pessoal do Mac Observer, os sites atingidos pela falha já estão trabalhando na solução do caso e Google, YouTube, Twitter e Tumblr já blindaram suas plataformas para que nenhum criminoso virtual se aproveite da brecha. A Adobe, por outro lado, diz já ter atualizado o Flash Player e que janelas de notificação devem começar a aparecer nas próximas horas para todos os usuários do Windows, Macintosh e Linux que utilizam o software.

Portanto, fica aqui a dica: se com frequência você ignora aquela janelinha de atualização do Flash Player assim que liga o computador, pelo menos dessa vez não faça isso.

Se você se interessou pela falha e deseja analisá-la mais profundamente, pode consultar a publicação original da engenheira do Google clicando aqui ou ir direto para o repositório do Rosetta Flash lá no Github aqui.

Leia mais sobre segurança:

Fonte: http://www.techradar.com/us/news/software/applications/massive-flash-flaw-has-affected-google-youtube-twitter-1256544

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.