A Adobe lançou uma atualização, nesta quarta-feira (21), que corrige seis vulnerabilidades no Flash Player, incluindo uma que já tem sido reconhecidamente explorada por hackers. Esta vulnerabilidade, identificada como CVE-2011-2444, tem algumas características em comum com uma falha anterior do Flash que foi usada num ataque a contas do Gmail, ocorrida em junho.

A Adobe rotulou a CVE-2111-2444 como uma vulnerabilidade de cross-site-scripting (XSS), uma categoria de bugs usada frequentemente por ladrões de identidade para roubar senhas por meio de navegadores vulneráveis. Neste caso, os navegadores não foram atacados diretamente; em vez disso, os invasores exploraram o plug-in do Flash Player para browsers.

Tal como o bug de junho do Flash, a CVE-2011-2444 foi apresentada à Adobe pela equipe de segurança da Google. Em seus boletins de segurança, a Adobe usou quase os mesmos termos para descrever a CVE-2011-2444 e a vulnerabilidade de junho.

"Há informes de que esta vulnerabilidade tem sido explorada em campo, por ataques ativos projetados para enganar o usuário levando-o a clicar em links maliciosos entregues em uma mensagem de e-mail", disse a Adobe no boletim de quarta-feira e no aviso de junho. "Esta questão universal de cross-site scripting poderia ser usada para tomar ações em nome do usuário, em qualquer site ou provedor de webmail, caso ele visite um site malicioso."

A Adobe recusou-se a comentar como a vulnerabilidade CVE-2011-2444 poderia ser explorada por hackers para rodar seu código malicioso nos computadores das vítimas, alertou a empresa em seu boletim.

A atualização de quarta-feira para o Flash foi a primeira desde que a Adobe consertou 13 bugs em 9 de agosto. Desde o começo do ano, a Adobe emitiu seis correções para o Flash, incluindo várias emergenciais, ou "out-of-band", destinadas a deter ataques que já ocorriam em campo.

As versões corrigidas do Flash Player para WIndows, Mac, Linux e Solaris podem ser baixadas do site da Adobe. Alternativamente, os usuários podem rodar a ferramenta de atualização do Flash ou esperar pelo aviso do software de que uma nova versão está disponível. Os usuários de Android devem procurar a versão atualizada do Flash no Android Market.

Na terça-feira (20), o Google atualizou silenciosamente seu navegador Chrome para incluir a versão corrigida do Flash Player. O Google inclui o Flash no Chrome desde abril de 2010 e ainda é a única empresa a oferecer o Flash incluído em suas próprias versões.