Os problemas do Flash nesta semana parecem não ter fim. Depois de ser alvo de críticas do chefe de segurança do Facebook e ser desativado por padrão no Firefox, o plugin da Adobe recebeu mais um patch para corrigir brechas descobertas ainda na última semana. As falhas eram utilizadas por soluções de monitoramento da Hacking Team, que foi hackeada na segunda-feira passada e teve 400 GB de informações vazadas.

A empresa italiana já era conhecida por fornecer ferramentas a países que queriam vigiar (ou espionar mesmo) suspeitos online. Os vazamentos de dados, porém, revelaram que essas mesmas soluções eram vendidas mesmo a regimes autoritários, que têm no histórico político crimes como censura e perseguição a manifestantes contrários aos governos. É de se imaginar, portanto, que os programas de monitoramento acabavam usados nesses casos.

O carro-chefe da Hacking Team é seu Remote Control System (ou RCS), que aproveita brechas em determinados programas para liberar o acesso aos computadores dos alvos. Algumas das falhas das quais a solução tirava proveito estavam no Flash, como os documentos vazados vieram a revelar. A primeira das vulnerabilidades descobertas chegou a ser corrigida já na última terça-feira, mas não a tempo de impedir que cibercriminosos aproveitassem para atacar usuários desavisados.

Já essas outras duas (identificadas como CVE-2015-5122 e CVE-2015-5123) corrigidas com a nova atualização seguiram abertas por pelo menos mais uma semana. Não há relatos de ataques feitos através delas, mas é bom atualizar seu plugin o quanto antes para as versões 18.0.0.209 (Windows e Mac) e 11.2.202.481 (Linux). E para não correr tantos riscos depois, talvez até valha a pena fazer o que a Mozilla fez e desativar o Flash por padrão em seu navegador.

Via Graham Cluley