Novo zero-day do Flash recebe atualização emergencial; Adobe investiga segunda vulnerabilidade

Poucos dias depois da última atualização, a Adobe viu-se forçada a liberar uma nova correção do Flash. A nova vulnerabilidade vem sendo utilizada por exploit kit para infectar computadores 100% atualizados.

Adobe Flash

A nova vulnerabilidade é a CVE-2015-0310, e vem sendo ativamente utilizada pelo exploit kit Angler para infectar PCs que visitam páginas comprometidas. Em função disto, o fabricante recomenda que usuários do Mac e Windows atualizem o Adobe Flash para a versão 16.0.0.287. E de acordo com o boletim, a coisa não para por aí. A Adobe investiga um segundo zero-day que estaria sendo explorado na internet, ainda sem correção. O boletim de segurança da Adobe pode ser lido aqui.

update em 02/02/15:  o bug mencionado acima foi corrigido na 16.0.0.296. Infelizmente hoje mais um 0-day do Flash foi descoberto. Agora é o CVE-2015-0313. Ou seja, foram 3 0-day até agora, e o ano ainda está começando. A nova vulnerabilidade já vem sendo explorada, e a Adobe corre para lançar uma atualização. Até lá, nossa sugestão é a utilização de plug-ins para o browser que desabilitem a execução de flash nas páginas.

Infelizmente é comum que organizações se foquem na aplicação de correções para o sistema operacional somente (isto quando não ignoram totalmente o assunto) e deixem de lado outros componentes importantes, como o Flash ou o Java.

Por sinal, a Oracle liberou nesta semana uma atualização do Java que corrige 16 vulnerabilidades, algumas delas exploráveis remotamente, assim como esta nova do Flash.

Para entender o risco dessas vulnerabilidades (tanto do Flash como do Java), elas dispensam qualquer ação equivocada do usuário. Basta navegar em algum site infectado, o qual pode ser até mesmo um site legítimo, e o código é executado, instalando o malware.