De acordo com o alerta de alguns pesquisadores de segurança, os hackers agora podem explorar uma falha no Adobe Flash Player que pode comprometer praticamente todos os sites na web.
A falha permite que os usuários façam o upload de conteúdo para estes sites, incluindo o Gmail, e lancem ataques silenciosos contra os PCs dos visitantes destes sites.
A Adobe não rebateu as alegações dos pesquisadores, mas informou que os designers e administradores tem a responsabilidade de proteger seus sites para impedir estes ataques.
"A magnitude disso é enorme", disse Mike Murray, da Foreground Security. "Qualquer site que permite o upload de conteúdo por todo e qualquer usuário é vulnerável e a maioria não está configurada para prevenir isso", disse ele.
O problema está na "Flash ActionScript same-origin policy", que foi criada para limitar o acesso de um objeto Flash ao conteúdo vindo apenas do mesmo domínio onde ele se originou, disse Mike Bailey, pesquisador de segurança da Foreground.
Mas de acordo com Bailey, se um criminoso injetar um objeto Flash malicioso em um site que permite o envio de conteúdo por seus usuários, ele poderá executar scripts maliciosos no contexto do domínio do site.
"Isto é algo assustador", disse Bailey. "Quantos sites permitem que os usuários façam o upload de arquivos? Quantos destes sites servem arquivos para os usuários a partir do mesmo domínio? Praticamente todos eles estão vulneráveis".
Bailey, que demonstrou como comprometer um site para atacar seus usuários em um post no blog da Foreground, disse que explorar a falha no Flash é algo "relativamente simples". "Basta criar um objeto Flash malicioso e fazer o upload dele para o servidor do site", disse ele.
