A Adobe liberou na segunda-feira (22/3) correções para uma falha crítica de 0-day no Flash Player – e no componente authplay.dll usado por Adobe Reader e Adobe Acrobat – que foi anunciada na semana passada.

Se explorada, a vulnerabilidade no Flash Player poderia permitir a um invasor tomar completamente o controle do PC, o que permitiria a instalação de outros códigos maliciosos ou acessar informações pessoais. Até mesmo um exploit falho poderia causar pane no sistema.

A Adobe informou ter detectado poucos ataques que se aproveitam da falha. Eles usavam um arquivo Flash inserido em um anexo de planilha Excel enviado por e-mail.

Ainda não foram detectados ataques diretos ao Adobe Reader ou ao Acrobat. Mas o fato de que os dois produtos podem mostrar conteúdo Flash mediante o uso do componente authplay.dll os torna vulneráveis, e há certa preocupação de que os invasores poderiam usar arquivos PDF para explorar a vulnerabilidade.

Espera
As atualizações liberadas agora aplicam-se ao Flash Player – incluindo o navegador Chrome com suporte integrado a Flash, o Acrobat e a maioria da versões do Reader. O Adobe Reader X para Windows terá de esperar por sua atualização.

O Adobe Reader X para Windows inclui uma tecnologia de caixa de areia que isola scripts e outros códigos executáveis, impedindo a interação direta com outros programas ou o sistema Windows. A proteção de caixa de areia pode não ser 100% à prova de falhas, mas a camada extra de segurança significa que dificilmente um ataque baseado na falha do authplay.dll teria sucesso.

O boletim de segurança da Adobe para o Acrobat e o Reader explica que “como o Adobe Reader X em modo protegido impede que um exploit desse tipo seja executado, planejamos responder a essa questão no Adobe Reader X para Windows com a próxima atualização trimestral do Adobe Reader, programada atualmente para 14 de junho de 2011”.

As atualizações estão disponíveis agora para o Adobe Reader e o Adobe Acrobat. A previsão era de que a atualização para versões do Adobe Flash Player – e para o navegador Chrome com suporte integrado para o Flash – também estaria disponível a partir da tarde de segunda-feira.