Duas vulnerabilidades no Flash Player, recentemente identificadas, podem ser exploradas por hackers dispostos a controlar remotamente a máquina. O aviso partiu de várias companhias de segurança e da Equipe de Emergência Digital dos Estados Unidos (US-CERT, na sigla em inglês).

As falhas foram descobertas pela empresa de pesquisa russa Intevydis, que não tem a intenção de comunicar a Adobe sobre elas. Há dois anos, a empresa anunciou que não mais alertaria os donos dos programas assim que encontrasse problemas. Ela não é a única: a Vupen, por exemplo, só compartilha as informações com clientes que pagam por elas.

Por conta das vulnerabilidades do Flash, um cibercriminoso pode, inclusive, superar as ferramentas de proteção do Windows, como o DEP e o ASLR, além da sandbox do Internet Explorer. A Intevydis já produziu um vídeo em que explica como as falhas podem ser exploradas no SO e promete que, em breve, fará outro em que mostra que elas também representam perigo para Mac OS X.

Leia mais: Atualização de plugins é pesadelo de segurança para as empresas

O hacker, para invadir o computador, teria de inserir conteúdo malicioso em formato Flash em um site ou em um documento em PDF. Aliás, tanto o Reader quanto o Acrobat são afetados por problemas no Flash, já que incorporam componentes do software.

A Adobe ainda não divulgou comentários a respeito das duas vulnerabilidades - no momento, ela está desenvolvendo uma correção para o Reader, que deve ser liberada na semana que vem. Quanto aos antivírus, a SANS Internet Storm Center avisa que eles devem o mais rápido possível criar assinaturas para evitar as ofensivas.

É preciso ressaltar que até agora nenhum ataque que utilize tais falhas foi identificado. Especialistas, porém, sugerem o bloqueio de conteúdo Flash nos navegadores e a desativação do suporte no Reader. Pelo menos até que updates de segurança sejam liberados.