De acordo com as estatísticas recolhidas na semana passada, enquanto que os utilizadores faziam o update para a última versão do Firefox, mais de metade usava ainda uma versão vulnerável do Adobe Flash Player.

De acordo com Ken Kovash (Mozilla), dos 6 milhões que fizeram a actualização da versão 3.5.3 ou 3.0.14 do Firefox, pouco mais de 3 milhões usavam uma versão desactualizada do Flash. Apenas 35% desses utilizadores carregaram no link para fazer a actualização da última versão.

2 milhões de utilizadores do Firefox mantêm-se vulneráveis a exploits remotos mesmo quando o Mozilla apresentou um aviso “your current version of Flash Player can cause security and stability issues” e mais directo ainda “you should update Adobe Flash Player right now”.

(Imagem propriedade da Mozilla)

GZ

O HP SWFScan é uma aplicação livre desenvolvida pela HP Web Security Research Group, que pesquisa falhas de segurança em aplicações feitas na plataforma Flash.

A HP está oferecer o SWFScan porque:

• Segundo um estudo da HP, muitos dos programadores estão a implementar aplicações em Adobe Flash sem o conhecimento de segurança desta;
• Como resultado, estão a verificar um enorme acréscimo de aplicações inseguras distribuídas pela web;
• Uma aplicação vulnerável construída na plataforma Flash alarga a superfície do ataque ao seu website criando uma maior oportunidade para utilizadores maliciosos.

Como funciona o SWFScan e que vulnerabilidades encontra:

• Decompila as aplicações construídas na plataforma Adobe Flash para extrair o código ActionScript e analisa estaticamente para identificar qualquer problema de segurança.
• Identifica e mostra programação e práticas inseguras e elabora sugestões/soluções.
• Permite analisar aplicações de outros sem ter acesso ao código fonte.

Projecto – Download [.msi]

De acordo com um estudo da Trusteer no início deste mês, 79.5% dos 2.5 milhões de utilizadores do serviço de segurança Rapport usam versões vulneráveis do Adobe Flash e 83.5% usam uma versão vulnerável do Acrobat.

Esta empresa no relatório criticou Adobe pelas suas ineficazes políticas de segurança, lembre-se que quase 99% dos utilizadores usam software criado por esta empresa e é um dos maiores alvos dos criminosos, mas elogia atitude do Google Chrome e Firefox pelo sistema de updates silencioso que barra o ataque de qualquer vírus aproveitando estas falhas.

(fonte: ZDNet.com)

Aviv Raff publicou no seu blog, um PoC – Proof of Concept que comprova uma teoria de Denis Fisher que mais de 50% dos sites usam Flash para guardar informações/cookies sobre os visitantes.

Isto é realmente preocupante porque mesmo usando as versões mais recentes dos browsers com o “Private Browsing” ligado, o problema continua.

Para testar este problema pode fazer o seguinte:

1. Abrir este flash nos eu browser em modo normal
2. Insira os dados e pressione “Save”
3. Abra o mesmo flash em modo “Private Browsing”
4. Vai verificar que os seus dados inseridos em modo normal estão preenchidos mesmo com o modo “Private Browsing” ligado