De bug die browsers laat crashen als hij wordt uitgebuit is in september 2008 gerapporteerd door Matthew Dempsky. Zo’n crash is waardevol voor aanvallers, omdat die hen de gelegenheid geeft kwaadaardige code in te voeren. Dempsky heeft zelfs een site gemaakt waarop een proof-of-concept draait. Bij een bezoek zal de browser overigens crashen, als die een recente versie van Flash Player heeft.

Opgelost in beta

De bug is al sinds november vorig jaar opgelost, schrijft Emma Huang van Adobe op haar blog. Alleen gaat het dan om Flash 10.1 beta, terwijl de bug nog aanwezig is in de huidige versie van Flash.

Huang geeft toe dat er fouten zijn gemaakt. Toen de bug gerapporteerd werd, stond Flash 10 net op uitkomen. “De fout die we hebben gemaakt is dat we deze bug hebben doorgeschoven naar de volgende release, in plaats van dat we er mee af hebben gerekend in de volgende security release”, schrijft ze. Ondertussen heeft Adobe al vier keer patches uitgebracht voor Flash Player.

Verantwoording

Bovendien hadden ze in contact moeten blijven met Depsey, gaat Huang verder. Ze biedt namens Adobe haar excuses aan dat dit niet is gebeurd. Ze zal de product manager die hier verantwoordelijk voor is ter verantwoording roepen, zodat het niet weer zal gebeuren. “Het is er doorheen geglipt, en daar tillen we zwaar aan”, schrijft Huang.

Wanneer Flash Player 10.1 precies uitkomt is nog niet bekend. De betaversies voor Windows, Mac en Linux kunnen worden gedownload van Adobe Labs.

De afgelopen tijd is Adobe flink onder vuur komen te liggen over kwetsbaarheden in vooral pdf en Flash en de gebrekkige reactie daarop. De softwaremaker heeft inmiddels zijn patchcyclus gewijzigd.