Hora de aposentar o Flash no seu PC

por
"Roy Lichtenstein Whaam" by Source. Licensed under Fair use via Wikipedia

“Roy Lichtenstein Whaam” by Source. Licensed under Fair use via Wikipedia

A era do Flash já passou. Problemas de performance e falta de suporte à mobilidade tornaram-o obsoleto. E um risco à segurança no PC.

Em 2010, Steve Jobs publicou uma longa carta justificando a falta de suporte ao Adobe Flash no iOS. Segundo ele, o Flash era um software para a era PC, mas a era da mobilidade era baseada em dispositivos de baixo consumo de energia. Novos padrões como HTML5 permitiam entregar as mesmas capacidades de forma mais eficiente, o que era atestado pelos (à época) 250.000 aplicativos da Apple Store. Cinco anos depois, ninguém mais lembra desta polêmica envolvendo o iPhone.

Enquanto isto no PC, ele segue ainda sendo diligentemente instalado pelas equipes de TI, embora sem uma análise crítica sobre se é ou não necessário. Há grandes chances de você descobrir que ele não faz a menor falta. O jornalista investigativo Brian Krebs resolveu fazer esta experiência, e passou um mês sem o Adobe Flash instalado. Segundo ele, em apenas duas situações ele precisou do Flash. Uma delas era para assistir à um vídeo de montagem de um equipamento doméstico de ginástica.

Mas e qual o problema de deixar o Flash lá?

Mensalmente a Adobe publica atualizações do Flash com correções de segurança. Seu suporte à várias plataformas e problemas de segurança o tornam um dos alvos favoritos para ataques. Por ser chamado pelo browser, ele possibilita infectar a máquina da vítima apenas visitando uma página na web. Muitas vezes as organizações implementam processos para garantir que as estações recebam atualizações do sistema operacional, mas se esquecem das atualizações de componentes como o Flash ou Java. E quem atualiza, tem que conviver com mais este trabalho mensal.

Recentemente tivemos mais uma evidência dos riscos do Flash. Na esteira da invasão da empresa de segurança italiana Hacking Team, a qual fornece software de espionagem para diversas forças policiais e órgãos de segurança de todo o mundo (incluindo a Polícia Federal brasileira), descobriu-se no meio dos códigos vazados pelo hacker um ataque do tipo zero-day contra o Flash. O software da Hacking Team usava uma vulnerabilidade até então desconhecida pela Adobe para infectar as máquinas dos seus alvos. Com o vazamento do código, em poucos dias a vulnerabilidade começou a ser explorada por desenvolvedores de malware. A Adobe agiu rapidamente e já liberou uma correção, mas é razoável supor que, assim como as anteriores, um grande número de PCs domésticos e corporativos jamais irá recebê-la, permanecendo vulneráveis.

O que fazer
  • Reavalie se sites e aplicações de negócio acessados pelos seus usuários precisam do Flash. Desative seu uso via policies para os browsers. Até a bateria do seu laptop vai agradecer;
  • Faça uma revisão nos seus próprios sites. Sua página corporativa tem animações em Flash? Hora de trocar por HTML5;
  • Se você ainda precisar do suporte ao Flash, crie um processo para atualizar de forma centralizada o componente, e audite periodicamente as estações para confirmar que estão atualizadas.
  • Você pode chegar a versão de Flash em uso aqui: http://www.adobe.com/software/flash/about/ – mas atenção, como o componente é instalado no browser, você precisa verificar no IE, Chrome, Firefox, etc.

 

André Mazeron, CISSP (@mazeron)
Leverage Segurança da Informação

 

 

Categoria : Ataques
Tags : , , , , , , ,