Security-expert Roel Schouwenberg van antivirusleverancier Kaspersky heeft dit ontdekt. De Flash-versie voor Chrome op Linux is 10.3.181.34, terwijl die op Chrome OS de oudere versie 10.2.158.26 is. Webwereld heeft dit vanmiddag geverifieerd op een vers gebootte ChromeBook met een volledig bijgewerkt Chrome OS. Deze Samsung-netbook is geen pilot- of testexemplaar. Vragen over deze Flash-discrepantie zijn uitgezet bij Google.

Fixes

Tussen die twee grote (major) versies zitten meerdere patches, De meest recente daarvan is slechts een compatibility-patch, voor bepaalde content die cross-domain policy-bestanden gebruiken. De patches van daarvóór bevatten echter wat Adobe “security-verbeteringen" noemt. Die komen neer op fixes voor concrete beveiligingsgaten, waaronder ook enkele kritieke. Die gaten gelden voor Flash op zowel Windows (en Mac OS X) als Linux.

De verouderde Flash-versie op het ChromeBook is op 14 juni uitgebracht voor de bèta-uitvoering van Chrome OS. Google meldt op zijn release-blog voor Chrome (en Chrome OS) dat het Flash gisteren nog heeft geüpdate naar een nu nog altijd achterlopende versie (10.2.158.27). Die iets nieuwere versie is vanmiddag pas opgedoken (automatisch geïnstalleerd na een reboot) op de ChromeBook die Webwereld testte op deze Flash-fout. Door de aard van Chrome OS is zelf software installeren niet mogelijk.

Eigen Flash, sandbox

Google heeft zijn browser Chrome van begin af aan al wel voorzien van geavanceerde isolatietechnieken (sandboxing). Die isolatie geldt voor webpagina's én de daarop draaiende elementen, waaronder ook Flash-code. Dit beperkt de impact van beveiligingsgaten. Bovendien heeft Google de Flash-software van Adobe sinds april vorig jaar zelf geïmplementeerd in zijn browser.

Daardoor is de internetreus vaak - en flink - sneller dan Adobe zelf wat betreft het uitbrengen van fixes voor Flash. Google heeft immers minder testwerk: het hoeft alleen de eigen browser te testen en dan eigenlijk alleen nog de huidige versie aangezien Chrome automatisch wordt geüpdate. Adobe moet verschillende versies van diverse browsers testen, heeft de leverancier al eens aan Webwereld uitgelegd.

Chrome-versie vóór

Opvallend genoeg loopt de Chrome-browser op de Google-netbook een versie vóór op de officiële stabiele Chrome-versie op Linux. Laatstgenoemde is 12.0.742.112, die ook volledig bijgewerkt draait bij Webwereld. Op Chrome OS is de volledig bijgewerkte versie 113 voor het laatste deel (kwart) van de nummerreeks.

De patches voor Google's Flash-implementatie komen normaliter gelijk mee met de Chrome-updates. Dit lijkt dus niet het geval voor Chrome draaiend bovenop de uitgeklede en dichtgetimmerde Linux-distributie die tezamen het 'internetbesturingssysteem' Chrome OS vormen. Waarom Flash op Chrome OS achterloopt en waarom Google's browser op dat eigen besturingssysteem iets voorloopt, is niet bekend.

Update1:

Google heeft de oudere Flash-versie op ChromeOS wel voorzien van de security-fixes die zijn verschenen in latere Flash-versies van Adobe. Dit verklaart de Amerikaanse tak van het bedrijf tegen techblog AllThingsD. Het blijft onduidelijk waarom dit zogeheten backporten (zonder verhoging van het versienummer) wel is uitgevoerd voor Chrome op Chrome OS en niet voor de reguliere uitvoering van Chrome (op Linux, Windows en Mac OS X).