Sítio do Piropo B. Piropo |
< O Globo >
|
|
19/08/2002
|
< Falhas no Flash > |
Provavelmente você já ouviu falar do Flash. E mesmo que não tenha ouvido, é quase certo que o use. Acha improvável ser usuário de um produto do qual sequer ouviu falar? Nem tanto. Acontece que o Flash é um aplicativo da Macromedia que serve para criar programetos multimídia que são exibidos em páginas da internet sob a forma de filmetes, vídeos e animações acompanhados ou não de trilhas sonoras. Com Flash podem ser criadas não apenas apresentações como também interfaces inteiras através das quais o visitante interage com o conteúdo da página. Há, literalmente, milhões de páginas na internet que apelam para o Flash. Para criá-las, o autor usa o programa propriamente dito, o Flash, que custa uma nota preta. Mas para exibi-las em seus micros, o visitante da página precisa apenas do módulo visualizador, o Flash Player, gratuito. Mais que isso: se você visitar uma página que contém um módulo desenvolvido em Flash e por acaso não tiver o visualizador instalado em seu micro, se a página foi desenvolvida por um programador competente, em vez da apresentação (impossível de exibir sem o visualizador), surgirá em sua tela um aviso informando-o do que se passa e oferecendo-se para instalar o programa baixado diretamente do sítio da Macromedia, gratuita e automaticamente. A maioria das pessoas responde afirmativamente e mal se dá conta que, ao fazê-lo, além de assistir a animação, tem o Flash Player instalado na máquina. É por isso que talvez você seja usuário de um programa do qual jamais ouviu falar. É também por isso que, segundo informações disponíveis no sítio da própria Macromedia, há hoje mais de 414 milhões de usuários Flash. E muito provavelmente é também por isso que todos esses 414 milhões (dos quais talvez você faça parte) correm o risco de rodar um trecho de código mal intencionado em seus micros ou de terem seus arquivos examinados por terceiros. Isso porque semana passada a empresa EEye Digital Systems descobriu – e a própria Macromedia confirmou – a existência de duas vulnerabilidades no Flash. A primeira, “Flash Malformed Header”, permite que arquivos de extensão SWF (de “ShockWave Flash”) correspondentes a filmetes gerados com o Flash, tenham seus cabeçalhos (“headers”) alterados de tal forma que o “buffer” (um trecho de memória usado para armazenar dados que aguardam o momento da execução) seja sobrescrito com código mal intencionado. Desta forma, quando chegar o momento da execução, em vez da exibição de um trecho do arquivo SWF, será executado o código “enxertado” e qualquer coisa pode ocorrer. A segunda vulnerabilidade, “Flash URL Modification”, fornece meios a um programador para desenvolver um aplicativo em Flash que, ao ser executado na máquina do usuário, acesse o conteúdo de arquivos no disco rígido e o envie para o servidor de onde o aplicativo foi carregado (se isso lhe parece complicado, vamos simplificar: a falha permite a um pilantra qualquer ler seus arquivos à sua revelia). Detalhes sobre ambas as vulnerabilidades estão no próprio sítio da Macromedia, na página “Security Zone” (<www.macromedia.com/v1/developer/securityzone/>). Lá você vai descobrir que há atenuantes: para se aproveitar da primeira vulnerabilidade é preciso alterar manualmente, byte a byte, o código binário contido no arquivo SWF – o que exige um bocado de conhecimento de programação – e para usufruir da segunda é preciso conhecer de antemão o nome e a localização dos arquivos no disco rígido da vítima, cujo conteúdo pode ser lido mas jamais alterado. Porém as vulnerabilidades existem, são sérias e, quando começarem a ser exploradas maciçamente, vai ser um Deus nos acuda. Portanto,
se você é um dos 414 milhões de usuários
do Flash, ciente ou inconsciente, e pretende se proteger, só
há duas alternativas. A primeira é visitar o mais
rapidamente possível o Macromedia Flash Player Download
Center B. Piropo |