Adobe brengt een serie patches uit tegen kwetsbaarheden in zijn producten. De Flash en Shockwave-gaten krijgen de hoogste prioriteit, omdat ze goed in de markt liggen bij cybercriminelen. De meerderheid van de gaten, waaronder vier kritieke Flash-lekken, zijn ontdekt door beveiligingsonderzoekers van Google.

Flash-misbruik dreigt

In de Flash Player patcht Adobe vier kwetsbaarheden. Het gaat hierbij om programmeerfouten waardoor remote exploits mogelijk zijn. Flash Players tot en met versie 11.8.800.94 voor Windows en Mac, en tot en met 11.2.202.297 voor Linux zijn kwetsbaar zonder de patch. Ook Android-gebruikers die Flash hebben geïnstalleerd, lopen gevaar. Verder zitten deze kwetsbaarheden ook in de Adobe Integrated Runtime (AIR).

De gaten in Flash voor Windows en Mac krijgen van Adobe de hoogste prioriteit mee. Die beoordeling geeft aan dat de fout wordt benut door aanvallers, of dat er een gerede kans is dat het misbruikt gaat worden. De Flash plug-in is kwetsbaar op alle platforms die niet gepatcht zijn.

Gaten in Reader, Acrobat

In Adobe Reader en Acrobat wordt met een update in totaal acht lekken aangepakt. Dit is voor versies X en XI van die PDF-software. Gebruikers daarvan wordt geadviseerd om meteen te patchen, mede omdat vier van de lekken als kritiek worden beoordeeld. Via onder meer een buffer overflow en geheugencorruptie kan een remote aanval worden uitgevoerd.

Zes van deze lekken zijn ontdekt door beveiligingsonderzoekers van Google. Daarnaast is eentje gevonden door een security-expert van IOactive en de laatste aangemeld via van het Zero Day Initiative. Dat kwetsbaarhedenprogramma van HP-dochter TippingPoint verzamelt zeroday-lekken om die dan aan de getroffen leveranciers te melden. Terwijl die dan een patch ontwikkelt, kan HP's securitytak klanten al bescherming bieden voor exploits.

Kritieke Shockwave-gaten

Tot slot heeft Shockwave voor Windows en Mac een tweetal lekken dat ook de hoogste prioriteit meekrijgt. Door bij te werken naar versie 12.0.4.144 worden deze twee gaten gedicht. Het gaat daarbij om CVE-2013-3359 en CVE-2013-3360, beide bufferoverloopproblemen.