Vazamento de empresa hackeada revela grave vulnerabilidade no Flash

Falha no software permitia que invasores controlassem e monitorassem remotamente outros PCs
 (Reprodução)
(Reprodução)
G
Gabriel GarciaPublicado em 08/07/2015 às 07:00.

A empresa de spyware Hacking Team foi invadida no começo da semana, vazando 400 GB de arquivos confidenciais e códigos fontes. Além de documentos mostrando que a empresa italiana prestava serviços para ditaduras, os arquivos mostram que a Hacking Team explorava graves vulnerabilidades em softwares bastante populares.

Segundo o site The Register, os documentos vazados revelam que a empresa descobriu duas falhas que, até agora, eram desconhecidas. Elas afetariam o Adobe Flash e um driver de fontes, também da Adobe no Windows.

A Hacking Team descreve a falha no programa da Adobe como "a mais bela vulnerabilidade no Flash dos últimos quatro anos", sugerindo que a empresa poderia estar usando o bug para praticar spyware há algum tempo. Os documentos mostram que a Hacking Team usou essa vulnerabilidade para instalar malwares que monitoravam e controlavam remotamente outros PCs.

A falha permitia que invasores executem códigos na máquina da vítima por meio de um site. A falha afeta as versões do software para Windows, OS X e Linux, e pode ser usada contra navegadores como o Internet Explorer, Mozilla Firefox, Google Chrome e o Safari, da Apple.

A Adobe declarou que tomou ciência da vulnerabilidade e está planejando lançar uma correção ainda nesta quarta-feira (8). 

A outra falha afeta um driver de fontes da Adobe no Windows. Todas as versões de 32-bit e 64-bit do Windows são afetadas pelo bug, desde o Windows XP até a versão 8.1 do sistema operacional, segundo os pesquisadores.

A vulnerabilidade permite que invasores aumentem o nível de privilégios que possuem em uma máquina para o grau de administrador, e deveria seria usada simultaneamente à vulnerabilidade no Flash.

"Acreditamos que o risco é limitado para os consumidores em geral, já que, sozinha, essa vulnerabilidade não pode permitir que um adversário tome controle de uma máquina", afirmou um porta-voz da Microsoft ao site The Verge. "Encorajamos os clientes a aplicar a atualização da Adobe e estamos trabalhando em uma correção."

Fonte: The Register