Os utilizadores do cliente de Telnet e SSH Putty devem atualizar as suas aplicações, derivado da descoberta de uma falha no software, que pode permitir o acesso a Chaves Privadas de ligação.

A falha encontra-se em todas as versões do PuTTY 0.68 até à 0.80, e pode ser usada para recolher chaves privadas que Tenham Sido Criadas usando o software – e que podem posteriormente ser usadas para acesso seguro a sistemas remotos.

O PuTTY é um dos clientes de terminal mais reconhecidos no mercado, sobretudo por ter várias funcionalidades para facilitar a ligação e por encontrar-se acessível em vários sistemas. Este é bastante usado para acesso a ligações SSH, Telnet, SCP e SFTP.

A falha foi descoberta pelos investigadores Fabian Bäumer e Marcus Brinkmann, e encontra-se associada na forma como o PuTTY cria as chaves privadas pela sua aplicação. Explorando a falha, atacantes com acesso ao sistema e à aplicação podem recolher até 60 chaves privadas que tenham sido criadas pelo software – e que podem estar a ser usadas para ligação a sistemas remotos no mesmo.

A falha foi notificada aos criadores do PuTTY, tendo sido corrigida na versão 0.81. No entanto, embora a versão base do PuTTY tenha sido atualizada, software de terceiros que se baseie no PuTTY para a ligação ainda pode encontrar-se vulnerável.

Os utilizadores que usem programas de acesso que tenham como base o PuTTY são aconselhados a verificarem a existência de atualizações o mais rapidamente possível.