Adobe dicht zes kritieke gaten in Flash
Gepubliceerd: Woensdag 11 augustus 2010
Auteur: Jasper Bakker
Adobe brengt patches uit voor Flash die zes kritieke gaten dichten. Daarin zit ook een tweede poging om een kritiek lek te dichten. Een eerdere poging in juni mislukte.
De update voor Flash is gisteren uitgebracht, tegelijk met de lading patches van Microsoft voor deze maand. De Windows-maker houdt een maandritme aan voor het uitbrengen van patches voor al zijn software. Adobe hanteert sinds juni vorig jaar een patchcyclus waarbij het elk kwartaal patches uitbrengt, met uitzondering van noodpatches. Die planning geldt echter alleen voor de PDF-software van het bedrijf.
Kritieke lekken
De nu uitgebrachte patches voor Flash gelden ook voor het Flash gebaseerde AIR (Adobe Integrated Runtime) en voor de professionale pakketten (CS3, 4 en 5, plus Flex 3 en 4) om Flash-code te maken. Daarnaast krijgen ColdFusion en de Flash Media Server ook patches.
De updates voor Flash zijn de derde ronde van dit jaar. De twee voorgaande updates, van maart en juni, hebben in totaal 33 gaten gedicht. De nieuwste patches dichten slechts 6 beveiligingsgaten, die volgens de softwaremaker echter wel allen kritiek zijn.
Vijf van de zes lekken betreffen geheugenvervuiling (memory corruption), wat in theorie kan leiden tot buffer overflows waardoor malware binnen kan komen. Het zesde lek maakt een zogeheten click-jacking aanval mogelijk. Daarbij is eenvoudigweg klikken op een malafide link op een webpagina voldoende om binnen te dringen op een computer.
Opnieuw dichten
Onder de nu gedichte gaten in Flash bevindt zich ook een lek waarvoor Adobe op 10 juni al een patch heeft uitgebracht. Die bleek echter het probleem niet op te lossen. Dat heeft Adobe zelf toegegeven enkele weken na het verschijnen van die eerste patch. Probleem hierbij is dat kort na het uitbrengen van die patch er informatie is uitgekomen over het lek. Adobe meldt nu dat het zich nog niet bewust is van aanvallen die de zes gedichte patches gebruiken.
PDF-noodpatch
Het bedrijf komt volgende week met een noodpatch voor zijn PDF-software; de gratis leessoftware Reader maar ook het professionele pakket Acrobat. Die update moet het fundamentele gat dichten waardoor malafide PDF-bestanden via lettertypes (fonts) kwaadaardige code kunnen uitvoeren op computers.
Adobe komt binnenkort ook met een geheel nieuwe beveiligingsmaatregel die de veelgebruikte Reader een algemene bescherming geeft tegen misbruik van gaten. Daarbij plaatst het bedrijf Reader in quarantaine middels zogeheten sandboxing. Adobe heeft hiervoor hulp gekregen van Microsofts Office-team en van Google's Chrome-team. Die twee producten hebben elk ook al sandboxing ingebouwd. De sandbox komt in de nieuwe versie van Reader en geldt dan alleen voor die versie.
