Na terça-feira, a Adobe lançou um patch de emergência para corrigir uma falha do Flash Player CVE-2104-8439 que foi corrigida no mês passado, mas foi explorada novamente. Adobe adicionou “mitigação” para a vulnerabilidade.
As novas versões estão disponíveis para:
- Janelas - 15.0.0.239
- Mac OS – 15.0.0.239
- Linux - 11.2.202.424
Recomenda-se aos usuários do Adobe Flash Player que atualizem para a versão mais recente imediatamente. O IE10 e o IE11 no Windows 8.x atualizarão automaticamente as versões do Flash usadas atualmente. O mesmo vale para o Chrome. Conforme você baixa as versões mais recentes do Flash da página inicial oficial, certifique-se de verificar se há complementos potencialmente indesejados (por exemplo McAfee Security Scan) durante o processo de instalação.
A falha pode ser usada para instalação de malware na máquina comprometida. A equipe da Adobe afirmou que a atualização fornecerá proteção extra contra CVE-2104-8439.
Versões de software do Adobe Flash Player afetadas pelo bug:
- 15.0.0.223 e anteriores
- 13.0.0.252
- Versões 13.x anteriores
- 11.2.202.418 e versões anteriores para Linux
As explorações nos kits Nuclear e Angler foram detectadas pelo pesquisador francês Kafeine logo após a empresa lançar uma atualização em 14 de outubro. Esta atualização corrigiu três CVEs que podem causar estouros de inteiros ou corrupção de memória e permitir que os cibercriminosos carreguem e executem códigos na máquina de destino a partir de um local remoto.
Angler e Festa são usados em ataques contra sites vulneráveis, redirecionar visitantes para páginas da web corrompidas que hospedam malware bancário ou outras ameaças. Vulnerabilidades do Flash Player são altamente exploradas por esse tipo de kits, junto com falhas do Microsoft Silverlight e Java.
O mesmo pesquisador relatou outra exploração da Adobe na semana passada. A vulnerabilidade CVE-2014-8440 foi detectada no Angler. A falha pode permitir que um hacker obtenha o controle do sistema comprometido. O bug pode ser encontrado em vários sistemas, como OS X, Linux e Windows. De acordo com Kafeine, a vulnerabilidade já atraiu muita atenção entre os cibercriminosos.
