Het bedrijf heeft een advisory uitgebracht waarin het waarschuwt voor een kritiek lek in alle versies van Adobe Flash Player, inclusief die voor Android. Hetzelfde lek zit ook in Adobe Reader en in Adobe Acrobat. Door het lek zouden aanvallers machines kunnen laten crashen en ze zouden de machine zelfs over kunnen nemen. Het lek zou actief worden misbruikt, maar voorlopig alleen met behulp van Flash Player op Windows. Tegenover de Computerworld noemt een woordvoerster van Adobe de aanvallen “beperkt” en “gericht.”

Noodpatches

Adobe is bezig met het bereiden van een patch, maar die zal voor Flash nog zeker twee weken op zich laten wachten. De patch voor Adobe Reader en Acrobat komen nog een week later. Voor het patchen van deze lekken last Adobe dus wel twee extra patchrondes in. Normaal gesproken krijgen de programma’s om de drie maanden updates, tegelijk met Patch Tuesday van Microsoft.

Tweede lek in een week

Deze nieuwe zero-day bug is niet de enige die Adobe het leven zuur maakt. Op 8 september bracht het bedrijf ook al een advisory uit, waarin het bekend maakte dat er aanvallen werden uitgevoerd op een ongepatchte bug in Adobe Reader. Ook deze bug zal over drie weken in de noodpatch voor Reader worden gedicht.

Voor die tijd kunnen gebruikers de tool EMET van Microsoft gebruiken om zich te beschermen. Fermin J. Serna en Andrew Roths van het ontwikkelteam van EMET, zagen in de zero-day aanvallen een mooie kans om hun tool, waarvan net een nieuwe versie is uitgekomen, wat meer bekendheid te geven.

Bron: Techworld