Todos os posts tagados adobe

Vulnerabilidade no Flash permitia acesso a webcam por terceiros

No TeK:

Um novo tipo de ataque, explicado num vídeo publicado online no YouTube (que reproduzimos abaixo), permite tirar partido de uma vulnerabilidade no Adobe Flash e aceder à câmara de vídeo do computador da vítima.

O processo descrito pelo estudante de informática Feross Aboukhadijeh constitui uma ameaça na medida em que poderá ser usado por sites para aceder e ligar a webcam e microfone de um visitante sem necessitar da sua autorização, alerta o jovem.

(…)

Adobe alerta para nova vulnerabilidade no Flash

No Sol:

A Adobe emitiu um alerta sobre uma nova vulnerabilidade no Flash que afecta tanto os PC como os smartphones baseados em Android.

Segundo a empresa, que define a falha como crítica, a vulnerabilidade afecta as versões do Flash 10.2.152.33 para Windows, Macintosh, Linux e Solaris, e Flash 10.1.106.16 para Android.

Numa nota publicada on-line a Adobe refere que o bug poderá causar uma quebra no sistema e poderá «potencialmente permitir a um atacante controlar o sistema afectado».

A fabricante adianta ainda que a vulnerabilidade já está a ser explorada por hackers, que recorrem a um ficheiro de Flash embebido num documento de Excel.

O lançamento de uma actualização de segurança para a vulnerabilidade está previsto para a próxima semana.

Investigadores apontam falhas de segurança nos PDFs

No TeK:

Um estudo divulgado hoje conclui que o PDF, considerado o mais popular dos formatos utilizados para publicação de documentos digitais, apresenta características que podem colocar “sérios problemas de segurança e privacidade” tanto a autores como a leitores do ficheiro.

A conclusão é de um grupo de investigadores da Faculdade de Informática da Universidade Politécnica de Madrid (Espanha), cujas preocupações se localizam a dois níveis: dados relativos a quem envia o documento, que acompanham o ficheiro enviado através da Internet, e a informação sobre o leitor, que é exposta de cada vez que o documento é descarregado e aberto.

O tema não é novo e ainda em Dezembro tinha sido objecto de uma apresentação na conferência internacional Chaos Communication Congress por parte de uma especialista em segurança da empresa FireEye, que apontou várias falhas de segurança ao formato da Adobe, algumas delas em consonância com as agora expostas. O acesso a diferentes níveis de informação era uma delas.

De acordo com a equipa da universidade espanhola, os documentos publicados neste formato podem incluir dados sensíveis, como o nome do autor, a localização do ficheiro no seu computador ou mesmo partes do documento que tinham sido apagadas antes da sua publicação.

Informações como o nome do utilizador ou a data em que o documento foi editado pela última vez editado, usadas pelas aplicações de leitura ou edição deste formato para melhorar a experiência do utilizador, podem representar uma ameaça à segurança dos autores, principalmente porque não sabem que estão a dar acesso a este tipo de informação, alertam os investigadores.

A possibilidade de aceder ao texto eliminado acontece porque as aplicações para criação de PDFs não apagam efectivamente a informação de cada vez que um parágrafo é eliminado, optando antes por marcá-lo como “invisível”. Desta forma, embora programas de leitura não mostram o texto que foi apagado quando o documento é aberto para leitura, esta encontra-se lá e “pode ser acedida por um utilizador malicioso que saiba onde procurar”, explica-se em comunicado. No âmbito da investigação, foram desenvolvidas várias ferramentas capazes de extrair informação que normalmente não está acessível através dos leitores comuns, acrescentaram.

Para os leitores, a abertura de um ficheiro pode implicar a exposição do endereço de IP do computador, o nome do utilizador ou, “potencialmente”, de outros dados armazenados no PC onde se abre o documento.

O risco fica a dever-se a algumas funcionalidades das aplicações que conferem interactividade ao documento, como a ligação a um site ou dispositivo de armazenamento de dados que podem ser activadas quando o ficheiro é aberto para leitura.

O utilizador devia ser avisado dos riscos, mas o estudo revelou que muitas das destas acções, especialmente quando os documentos são abertos a partir do browser, são levadas a cabo sem pedir autorização ou notificar o leitor.

Os investigadores fazem notar, no entanto, que consideram o PDF um “formato poderoso e um poderoso meio de partilha de documentos”, constituindo o presente estudo apenas uma tentativa de alertar os utilizadores que estejam consciente dos riscos e tomem precauções para minimizar os riscos.

Entrevista com… Peleus Uhley

Quem é Peleus Uhley? É a pergunta que lhe deve estar a passar pela cabeça.

Peleus é um dos analistas de segurança da equipa de engenharia de software de segurança da AdobeASSET e conta com constantes presenças nos maiores eventos de segurança do planeta (ex: Defcon, AppSec, etc.).

A sua principal área de actividade na Adobe, passa por assegurar que os produtos da empresa sejam desenhados, programados e validados segundo as melhores práticas de segurança.

Antes de entrar para a Adobe em 2007, Peleus começou na indústria de segurança como programador para a Anonymizer, Inc., e mais tarde, passou a ser um consultor de segurança para empresas como a @stake e a Symantec.

Apesar de ser uma pessoa bastante ocupada, o Peleus teve a disponibilidade de responder algumas das minhas questões com bastante clareza, promovendo q.b. a segurança da Adobe.

Saliento dois aspectos. A explicação em detalhe do processo de resolução e tratamento de uma falha num produto da Adobe, e o novo projecto da empresa para combater falhas nos documentos PDF utilizando técnicas de sandboxing.

Podem consultar a entrevista aqui. (em inglês)

Gostaria de agradecer ao Peleus Uhley pela participação no projecto WebSegura.net e à Wiebke Lips  pela extrema rapidez e simpatia que demonstrou neste processo.

Adobe alerta para falha de segurança no Shockwave

No TVNET:

A empresa Adobe anunciou que foi descoberto um bug no leitor Shockwave. Uma falha que pode permitir ataques por parte de hackers.

O bug foi descoberto pelo investigador Shahin Ramezany que revelou que tanto pode afectar utilizadores do Windows como de Mac.

No entanto, a Adobe fez questão de realçar que até ao momento não existe qualquer confirmação de um ataque.

Esta foi considerada uma falha “crítica”, que afecta sobretudo as versões 11.5  e anteriores do Shockwave. É um bug que “pode causar bloqueios e que pode também permitir que um hacker controle o sistema afectado”, explicou a Adobe em comunicado.

O Shockwave pode assim tornar-se num alvo, sendo recomendada a sua desactivação até ser feita a uma correcção. No entanto, ainda não há previsão de quando o patch correctivo será disponibilizado.

O Shockwave Player é um plugin multimédia, muito utilizado, por exemplo, para executar jogos.