Uma falha no software Flash, da Adobe, pode ser explorada por hackers para comprometer todo site que dê permissão para atualização de conteúdo - caso, por exemplo, do Gmail do Google - para então atacar silenciosamente os visitantes desses sites, afirmaram hoje (13/11) pesquisadores de uma empresa de segurança dos EUA.

A Adobe não refutou as declarações dos pesquisadores, mas disse que é responsabilidade dos projetistas e dos administradores web construir aplicações e sites capazes de se prevenir contra tais ataques.

"O tamanho do problema é enorme", avalia Mike Murray, executivo de segurança da Foreground Security, da Flórida. "Qualquer site que permita a atualização de conteúdo pelo visitante é vulnerável, e a maioria deles não está pronta para lidar com isso."

Permissão arriscada
O problema está nas regras de operação do Flash ActionScript, que é programado para permitir o acesso de um objeto Flash a outro conteúdo somente a partir do domínio que o originou, explica Mike Bailey, um pesquisador sênior de segurança na Foreground.

Infelizmente, explica Bailey, se um invasor puder infiltrar um objeto Flash malicioso em um site - por meio de suas capacidades de geração de conteúdo, que tipicamente permite às pessoas atualizar arquivos em um site ou serviço - eles poderão executar scripts maliciosos no contexto desse domínio.

Bailey explicou como um hacker poderia explorar a falha do Flash. "É relativamente simples", disse. "Tudo que ele precisa fazer é criar um objeto Flash malicioso, e carregá-lo no servidor web".

"Se um fórum permite às pessoas carregar uma imagem como avatar, alguém poderia carregar um arquivo Flash malicioso que se parecesse com um avatar", disse Bailey. "Qualquer um que visse esse avatar estaria vulnerável ao ataque."

Sem solução
Em resposta à Foreground, a Adobe disse que a falha é "incorrigível", e tenta educar os administradores de site para que tapem, eles mesmos, o furo. Mas a estratégia não vêm tendo muito sucesso.

Brad Arkin, diretor da Adobe para privacidade e segurança de produto, concordou que o problema não pode ser resolvido com um patch para o Flash.

"Para nós, isso é um problema genérico que afeta qualquer site que permita script ativo, não apenas do Flash, mas de tecnologias como JavaScript e Silverlight. Mesmo se o Flash tivesse uma salvaguarda mágica, o problema ainda existiria para todos os sites de conteúdo ativo que permitem ao usuário atualizar arquivos."

Como alternativa, a Adobe tem apostado em boas práticas de projeto, explicando aos projetistas e administradores de site os riscos de permitir que usuários atualizem conteúdo. "Sites não deveriam permitir atualizações em domínios confiáveis", argumenta Arkin.

Até o GMail
Um dos sites sob risco de ataques maliciosos é o GMail, do Google. O serviço é um dos que permitem que usuários atualizem e baixem documentos anexos - embora Bailey admita que explorar o webmail do Google seja "extremamente difícil".

Embora a Foreground ainda não tenha detectado qualquer ataque com essa técnica, Murray disse que há evidências de que hackers estejam se voltando para tais táticas. "Nós começamos a notar um uso mais intenso de Flash nos últimos dias", disse.

Enquanto isso, a única defesa real que os usuários podem empregar contra tais ataques é parar de usar Flash - ou, se isso for impossível, restringir seu uso a sites sabidamente seguros com ferramentas como o NoScript AddOn do Firefox ou o ToogleFlash do Internet Explorer.