Adobe dicht het 0-day lek in een dll-component van zijn Flash-software, dat ook aanwezig is in de Windows- en Mac-uitvoeringen van zijn PDF-pakketten. De vorige week aangekondigde noodpatches zijn nu beschikbaar voor zowel de gratis Adobe Reader en het betaalde PDF-pakket Acrobat als de gratis Flash Player en de gratis AIR-software (Adobe Integrated Runtime).

Zelf update ontdekken

Laatstgenoemde updatet zichzelf zodra er op de computer een AIR-applicatie wordt gestart. De PDF-pakketten van Adobe werken zichzelf bij, net als de Windows-uitvoering van Flash. De Mac-uitvoering geeft de gebruiker een melding dat de update naar Flash 10.2 beschikbaar is. Google heeft Flash in zijn browser Chrome, op Windows en Mac OS X, vorige week al gepatcht en dat via automatische updates naar alle gebruikers uitgerold.

Smartphoneplatform Android schotelt de gebruiker niet eens een melding voor. Noch de Flash-installatie op de smartphone of tablet geeft een notificatie, noch de browser als er een site met Flash-content wordt bezocht. Webwereld heeft dit gecontroleerd op een Android-telefoon waar Flash 10.1 al op was geïnstalleerd. Daar bleek een nóg oudere versie op te staan dan de tot gisteren meest courante versie (10.1.106.16).

Melding in app store

Android-gebruikers die Flash hebben geïnstalleerd, moeten dus zelf hun versie van die Adobe-software updaten. Zij krijgen wel een melding binnen de Android Market. Die app store van Google geeft in het app-overzicht aan dat mobiele applicaties, zoals ook Flash, bijgewerkt kunnen worden.

Kiezen voor de optie ‘Bijwerken’ leidde tot download en installatie van de nieuwste versie 10.2 van Flash (voluit: 10.2.156.12). Die download voor Android is ruim 4 MB groot en neemt na installatie zo’n 12 MB in beslag.

De bijwerk-melding in Google’s app store kan makkelijk worden genegeerd. Op het eerste gezicht lijkt het te gaan om slechts een functionele update. De Android Market maakt geen gewag van de security-fix in 10.2, die dus een lek dicht waar op pc’s al misbruik van wordt gemaakt.

Nog bèta voor tablets

Adobe zelf noemt pas halverwege de release notes van Flash 10.2 voor Android dat daarin ook een security-fix zit, samen met een andere voor een beveiligingsgat van vorige maand. Flash 10.2 is een algemene update voor Android 2.2 (codenaam Froyo) en 2.3 (Gingerbread), maar nog een bèta voor de tabletuitvoering (versie 3.0, Honeycomb) van Google’s mobiele platform.

Reader X pas in juni

De noodpatches voor Adobe’s PDF-pakketten gelden niet voor de nieuwste versie 10 (met het Romeinse cijfer X) van die software. De leverancier dicht het 0-day gat in Reader X en Acrobat X in de reguliere patchronde, die op 14 juni weer plaatsvindt. Misbruik van het lek in versie X wordt namelijk aan banden gelegd door de daarin aanwezige isolatie (sandboxing). Die beveiligingsfunctie is beperkt tot versie X (en opvolgers), heeft Adobe al eens uitgelegd aan Webwereld.