Google heeft zijn enorme rekenkracht ingezet om grootschalige fuzz-testen op lekken in Adobe Flash Player uit te voeren. Google-medewerker en beveiligingsonderzoeker Tavis Ormandy vond daarbij vierhonderd unieke crashmeldingen, veroorzaakt door 106 verschillende beveiligingslekken, meldt Google in een weblogbericht. Adobe heeft op basis van de resultaten van het Google-onderzoek tientallen aanpassingen gedaan in de nieuwe versie van Flash Player, maar hield die geheim.

Crashmeldingen

'Fuzz testing' is een methode om lekken op te sporen door software te bestoken met datastromen en bestanden, totdat het programma crasht. de gegenereerde crashmeldingen zijn aanwijzingen voor eventuele lekken.

Ormandy gebruikte tijdens het testen 20 TB aan downloads van Flash-bestanden, gevolgd door een week met een runtime van tweeduizend processorkernen om tot een verzameling van twintigduizend bestanden te komen. Daarna zijn diezelfde tweeduizend cpu-cores en nog eens drie weken runtime gebruikt om met de bestanden allerlei soorten crashes te genereren, van buffer overflows tot use-after-frees.

Geheim gehouden

Adobe voerde zeker tachtig aanpassingen in de code uit om de lekken te repareren, maar het bedrijf meldde dat niet in de publieke releasenotes bij de update van Flash. Ormandy was daar verbolgen over en tweette vorige week zijn ongenoegen. Vervolgens heeft Adobe openheid van zaken gegeven.

Het bedrijf zag de lekken in eerste instantie als onderdeel van de Adobe Secure Product Lifecycle (SPLC), waarbij kwetsbaarheden geen aparte CVE-nummers krijgen, wat voor publieke meldingen wel geldt. Adobe's beveiligingschef Brad Arkin erkent de verwarring. Adobe heeft aan alle beveiligingslekken die Google heeft gemeld nu hetzelfde CVE-nummer toegekend.

Google en Adobe liggen vaker in de clinch rond de beveiliging van Flash. In maart dichtte Google nog eerder dan Adobe zelf een Flash-lek.