Pouco depois de a Adobe Systems ter corrigido uma séria falha no software de desenvolvimento Flash, ainda há milhares de sites com erro em arquivos no Shockwave Flash, que podem ser invadidos por crackers, revelou um analista do Google na quinta-feira (27/03).

Diversas ferramentas de desenvolvimento do Flash criaram arquivos que podem ser usados por crackers para fazer um ataque do tipo cross-site scripting (XSS), que obriga o browser a executar códigos nocivos. Esse tipo de ataque é usado para phishing, mas também oferece caminhos para acesso a contas de banco da vítima. Segundo o engenheiro de segurança do Google, Rich Cannings, mais de dez mil sites estão infectados.

Ele percebeu o problema no site do Google e procurou pelo responsável: um funcionário que estava usando o Dreamweaver para criar arquivos em Flash.

O bug estava em outras ferramentas do Flash e a Adobe rapidamente corrigiu as falhas depois delas terem sido reveladas por Cannings. O problema é que todos os arquivos criados antes da correção ainda representam risco.

O Google moveu todas suas animações em Flash para seus servidores web que usavam endereços de Internet Protocol (IP), em vez do domínio Google.com. Isso resolveu o problema para eles. “Os engenheiros nem tentaram corrigir a falha por que isso seria um grande desafio”, disse Cannings.

Mas para outras empresas, mover animações em Flash para um domínio diferente é algo impossível. Elas provavelmente terão que refazer seus arquivos em Flash – uma tarefa cara, normalmente feita por terceiros.