Adobe Flash Player: descoberta nova falha grave

Faz algum tempo que algumas portas de entradas para hackers maliciosos estão sendo encontradas no Adobe Flash. Agora, a antiga e defasada plataforma teve mais uma vulnerabilidade de dia zero encontrada. Neste caso, a falha está presente em todas as versões do Flash, até as mais recentes, em sistemas operacionais Windows, Mac e Linux.

Além de afetar Windows, Mac e Linux, o flash player do Google Chrome e Microsoft Edge também são afetados

Logo de cara, saiba que a melhor maneira de se proteger contra as vulnerabilidades do Adobe Flash é a seguinte: desinstale qualquer traço dele em seu computador. Não deixe o Flash instalado por um longo tempo na máquina e só use se for extremamente necessário.

A Adobe já confirmou a vulnerabilidade (CVE-2018-4878) e alertou que todas as versões até a v28.0.0.137 são afetadas. Ainda, a companhia avisou que vai soltar um patch de correção até o dia 5 de fevereiro.

Tudo que é ruim pode piorar

Além da Adobe confirmar a existência da vulnerabilidade, a empresa também confirmou que hackers maliciosos já estão explorando a falha, principalmente contra usuários Windows. “Os ataques usam documentos Office com conteúdo Flash malicioso, eles são distribuídos por email”, disse.

Se você não quiser desinstalar o Adobe Flash da sua máquina, o interessante ao abrir documentos provenientes de email e apps é utilizar a visualização protegida, nem edição por usuário.

Edge impõe restrição ao Flash Player

flashuxAlguns dos navegadores existentes no mercado estão começando gradualmente a bloquear o plugin Flash utilizado na reprodução de conteúdos multimídia nos sites.
Este comportamento se deve por um lado às frequentes falhas de segurança dos browsers e por outro, à adoção do HTML 5 por parte dos grandes distribuidores de mídia no desenvolvimento dos seus conteúdos.

No caso do Microsoft Edge (Windows 10 Build 1607), os conteúdos flash incorporados aos sites não são bloqueados, mas os usuários podem inativar o Flash Player caso pretendam.

Com o lançamento da Build 15002 do Creator Update, o comportamento do Edge em relação ao Flash muda e os conteúdos potencialmente perigosos são imediatamente bloqueados. Esta mudança pretende melhorar os níveis de segurança, estabilidade e performance do browser.

O responsável por estes bloqueios é o “Flash Click-to-Run”. Em termos de funcionamento, é parecido com o UAC na medida em que depende da autorização expressa do usuário para executar o plugin Flash quando solicitado na reprodução dos conteúdos bloqueados.

Esta mudança não afeta os sites desenvolvidos em HTML 5 que disponibilizam conteúdos multimídia. Nestes casos, o Edge economiza recursos do sistema ao não executar o plugin Flash.

A chegada destas medidas serão certamente um sinal claro de que o Flash está com seus dias contados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech

Adobe corrige falha crítica do Flash

Adobe-flash-bug-patchA Adobe Systems liberou nos últimos dias atualizações de segurança para diversos produtos, incluindo uma para o Flash Player que corrige uma vulnerabilidade crítica que já é conhecida e explorada por criminosos.

O update do Flash Player corrige um total de 17 vulnerabilidades, sendo que 16 delas são críticas e podem ser exploradas para a execução de código malicioso nos sistemas afetados. Uma dessas falhas, rastreada como CVE-2016-7892 no catálogo Common Vulnerabilities and Exposures (CVE), já está usada por hackers.

A Adobe tem conhecido do relato de que um exploit para a CVE-2016-7892 existe por aí, e está sendo usado em ataques limitados e direcionados contra usuários rodando o Internet Explorer (32-bit) no Windows”, afirmou a empresa – a vulnerabilidade foi revelada de forma anônima para a companhia.

Os usuários do Flash Player no Windows, OS X e Linux devem fazer o upgrade para a recém-lançada versão 24.0.0.186 o mais rápido possível. O plug-in do Flash já embutido ao Chrome e ao Internet Explorer será automaticamente atualizado por meio dos mecanismos de update dos navegadores.

Fonte: IDG Now!

Saiu correção para falha mais recente do Adobe Flash Player

Adobe-flash-bug-patchUma nova falha de segurança no Flash Player foi descoberta há poucos dias e fez com que a Adobe corresse contra o tempo para liberar uma nova atualização obrigatória para aqueles que ainda utilizam o plugin em seus navegadores.

Quem descobriu a nova falha foi uma equipe de segurança da Kaspersky Lab. Segundo os especialistas da empresa, é altamente recomendado que todos atualizem imediatamente o plugin, já que grupos de crackers já estão explorando a falha para prejudicar os usuários e aplicar golpes.

A brecha de segurança é considera grave e afeta todos os sistemas operacionais compatíveis com o Flash. Ela permite que invasores em potencial assumam o controle total do sistema a partir de um arquivo SWF malicioso.

Segundo a Kaspersky Lab, no melhor dos casos o arquivo contaminado pode levar apenas a queda momentânea do sistema operacional. Há relatos, no entanto, que grupos de crackers já teriam explorado a falha, deflagrando ataques em países como Rússia, Coreia do Sul, China, Índia, Kuwait e Romênia.

Ainda não se sabe se alguém chegou a ser prejudicado no Brasil. Nesses países, a maioria dos ataques se concentraram em empresas de grande porte.

Mesmo assim, o ideal é que todos atualizem o plugin aplicando o update disponibilizado no site da Adobe.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

 

Fonte: Canaltech

Google inicia desembarque definitivo do Flash

say-no-flash-playerO Google anunciou uma nova medida para impulsionar o HTML5. Assim sendo, o Flash Player começa a ser banido de vez da rede mundial de computadores pelas principais empresas de tecnologia.

O Google Chrome, a partir do quarto trimestre do ano, começará a desabilitar o Flash por padrão. Com isso, quando uma página tentar ativar algum recurso utilizando o plugin, como anúncios publicitários e vídeos, terá que solicitar que o usuário clique na animação para que possa ser reproduzida.

HTML 5: Novo Padrão

O Google informou que irá manter uma lista de domínios que ainda dependem do Flash, como o YouTube, Facebook, Twitch, entre outros. Porém, após um ano, esta lista será removida e todos os sites deverão adotar o padrão HTML5 para poderem continuar usando as suas animações.

Ao longo do tempo, o Flash Player teve várias falhas de segurança descobertas, que permitiam o acesso de hackers e também a propagação de malwares. Com a adoção do HTML5, consequentemente, haverá mais segurança no acesso a diversos sites.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net

Adobe libera nova correção para o Flash

Adobe-flash-bug-patch

Lançamento da solução acontece alguns dias após empresa emitir alerta para usuários sobre vulnerabilidade com exploit disponível.

A Adobe liberou uma atualização de segurança na sexta-feira, 13/05, para o Flash Player para corrigir uma vulnerabilidade publicamente conhecida, além de 24 outras falhas de segurança até então desconhecidas do público.

A empresa liberou no início da semana um alerta sobre a vulnerabilidade “dia zero”, dizendo que já tinha conhecimento da exploit disponível. A falha, detectada como CVE-2016-4117, foi revelada por pesquisadores de segurança da FireEye.

No entanto, apesar da existência de uma exploit para a CVE-2016-4117 em domínio público, a Adobe não tomou conhecimento de nenhum ataque envolvendo-a, afirmou um porta-voz da empresa.

Isso não significa que os hackers não serão rápidos para adotá-la, uma vez que o Flash Player é um dos alvos favoritos deles. Segundo um relatório de segurança recente da Trustwave, cerca de 40% das vulnerabilidades “dia zero” identificadas no ano passado estavam no Flash Player.

Além de solucionar a CVE-2016-4117, o novo update do Flash Player corrige outras 24 vulnerabilidades. Todas elas podem levar à execução arbritária de código e permitir que criminosos assumam o controle de sistemas afetados.

Os usuários do Flash Player no Windows e no Mac devem fazer o update para a versão 21.0.0.242, enquanto que os usuários do Linux devem instalar a edição 11.2.202.621.

As versões do Flash embutidas no Chrome, IE 11 e Microsoft Edge serão atualizadas automaticametne por meio dos mecanismos de update dos navegadores.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Adobe libera correção urgente para o Flash Player

adobe-flash-playerA Adobe liberou uma correção para uma vulnerabilidade crítica do Flash Player mais rápido do que havia anunciado originalmente em resposta a ataques de ciberespionagem contra alvos governamentais.

Os updates mais recentes do Flash Player liberados na última sexta-feira, 16/10, solucionam uma falha que já foi explorada por um grupo de espionagem conhecido como Pawn Storm, assim como duas outras vulnerabilidades críticas informadas de maneira privada para a Adobe.

A vulnerabilidade CVE-2015-7645 está sendo ativamente explorada pelo grupo Pawn Storm em ataques contra vários ministros estrangeiros de todo o mundo, conforme informado pela empresa de segurança Trend Micro na semana passada.

A Adobe confirmou o problema na quarta-feira passada, 14/10, e havia agendado inicialmente uma solução para este semana. Mas a empresa superou as suas próprias expectativas e entregou o patch na última sexta.

Recomenda-se fortemente que os usuários do Flash Player no Windows e no Mac façam o upgrade para a versão 19.0.0.226, e os usuários do Linux para a versão 11.2.202.540. Os usuários da versão com suporte estendido do Flash Player devem se certificar que estão rodando a edição 18.0.0.255.

Além de resolver a já citada falha CVE-2015-7645, os novos updates também solucionam dois novos tipos de vulnerabilidades – CVE-2015-7647 e CVE-2015-7648 – informada por Natalie Silvanovich, da equipe do Project Zero, do Google.

Caso não sejam solucionadas, as três falhas podem permitir que invasores executem códigos arbitrários nos computadores afetados e então assumam o controle deles.

Agradecemos ao Lucas, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!