"A Adobe corrigiu sete falhas no Flash Player, classificadas como críticas, nesta quarta-feira (09/04). A empresa aconselha que os usuários atualizem seu software para a última versão, 9.0.124.0.
Uma das correções adiciona um recurso chamado “cross-domain policy check”. O Flash Player usa os chamados "policy files" (na tradução literal, arquivos de política), que permitem o uso do conteúdo de outros domínios.
Os crackers podem criar estes arquivos, contudo, e escrever um “.swf” e enviar outros dados fora do domínio do servidor, o que pode levar a um novo bug de segurança.
Explorar vulnerabilidades no Flash se tornou popular entre os crackers por duas razões. A maioria dos navegadores têm o software instalado e, além disso, anúncios maliciosos podem se aproveitar de bugs existentes.
“Estas vulnerabilidades podem ser acessadas por meio de um conteúdo enviado de um local remoto pelo browser, cliente de e-mail e outras aplicações do usuário que tenham conexão com o Flash Player”, alertou a Adobe em um documento.
Atualmente, anúncios maliciosos têm aparecido em todos os locais, escreveu o blogueiro de segurança Sandi Hardmeier, certificado como Microsoft Most Valued Professional. O especialista exemplifica citando um banner falso da FedEx, que direciona o usuário a um site malicioso.
Além disso, a Websense mostrou, na terça-feira (08/04), que há um banner malicioso no site do jornal USA Today. Pela sua simples visualização, a janela do browser é minimizada e uma mensagem avisa que o PC está infectado com malware.
Mesmo que o usuário clique em “cancelar”, o browser é direcionado a um site que vende spywares e tenta baixar códigos maliciosos na máquina.
Em janeiro, a Adobe corrigiu algumas ferramentas de desenvolvimento em Flash para impedir que crackers criassem arquivos Shockwave Flash (.swf) maliciosos, que permitiam a execução de ataques de cross-site scripting.
Além disso, ao menos 10 mil sites ainda ofereciam arquivos Flash com bug até meados de março. A Adobe trabalha para corrigir este problema."
Fonte: IdgNow
http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlashExtraída do site Boadica.