Adobe geeft toe dat Flash en Reader kampen met een kritiek lek en belooft een patch te maken. Het bedrijf is al zeven maanden op de hoogte van het gat.

Dat blijkt volgens een beveiligingsonderzoeker uit de bug-tracking database van Adobe. Het bedrijf stelt dat eerdere berichtgeving over het gat klopt. "Een kritieke fout bestaat in de huidige versies van Flash Player (v9.0.159.0 en v10.0.22.87) voor Windows, Macintosh en Linux besturingssytemen. En er zit een gat in het authplay.dll component van Adobe Reader en Acrobat v9.x voor Windows, Macintosh en UNIX", laat het bedrijf weten. Authplay.dll stuurt Flash content in pdf-files aan.

Alle Flash-versies worden voor 30 juli gepatcht en de rest is niet later dan 31 juli aan de beurt. Adobe adviseert gebruikers in de tussentijd authplay.dll te hernoemen of te deleten. Ook is het een mogelijkheid om de Flash-functie in pdf's uit te schakelen om aanvallen te voorkomen. Voor Flash Player zelf noemde Adobe geen alternatief, maar maant de gebruikers voorzichtig te browsen.

December 2008

De meeste bekende aanvallen bestaan tot nu toe uit exploits van kwaadaardige pdf-files. De pdf is dan slechts het vehikel van de aanval, in de meeste gevallen wordt de authplay.dll gebruikt. Aanvallen via Flash op websites zijn ook goed mogelijk.

Volgens Paul Royal, onderzoeker bij Purewire, werd de fout zeven maanden geleden voor het eerst opgemerkt in de bug-tracking database van Adobe. De huidige exploits zijn pas van veel recentere datum. "Het lijkt erop dat de bug al bestaat sinds december 2008", aldus Royal. Bron: Techworld