Falhas de segurança que podem permitir o acesso ilegítimo a bases de dados ou o controlo por terceiros do browser em utilização, são algumas das principais vulnerabilidades reportadas pela empresa portuguesa Dognaedis, que hoje divulgou os resultados de uma análise a software open source.

Dos 25 programas analisados, cinco continham falhas de segurança "graves", "muito graves" ou "críticas", num total de 31 vulnerabilidades, até à data desconhecidas, detetadas pelo Code V - uma solução de segurança, lançada em setembro, que analisa o código-fonte das aplicações web para detetar falhas de segurança.

Os resultados dos testes de vulnerabilidade a software "usado por milhares de pessoas a nível mundial" revelaram fragilidades nos clientes de webmail Hastymail e AtMail - muito usados por forças de segurança e universidades norte-americanas - e em soluções como o Zen Cart (uma framework para integrar carrinhos de compras em sites), PrestaShop e osCommerce.

Do referido lote, os programas mais utilizados por empresas portuguesas serão o PrestaShop e osCommerce, soluções open source de loja online que gozam também de grande popularidade a nível mundial, detalhou ao TeK Francisco Rente, investigador da Universidade de Coimbra e diretor executivo da Dognaedis.

Outra das soluções populares testadas pelo Code V foi o SugarCRM, no qual não foi encontrada qualquer vulnerabilidade, exemplificou o responsável. Notou porém que a análise incidiu apenas sobre a parte aberta do código, que costuma ser complementada com add-ons.

No que respeita às vulnerabilidades encontradas, foram destacadas, por exemplo, a possibilidade de serem levados a cabo ataques de injeção de SQL, para acesso ilegítimo a bases de dados ou o XSS, que pode permitir o controlo por terceiros do browser do utilizador de uma aplicação com falhas. Esta última afeta os dois clientes de webmail (Hastymail e AtMail), onde foi também detetada uma falha crítica que permite a injeção de código malicioso.

As falhas agora apontadas vêm somar-se às 28 encontradas nos "40 maiores software livre existentes no mercado" divulgadas com o lançamento do Code V. Os novos resultados foram previamente partilhados com os responsáveis pelos programas e estão disponíveis para consulta detalhada no site da Dognaedis, aqui.

Escrito ao abrigo do novo Acordo Ortográfico