Diverse beveiligingssites berichtten afgelopen dinsdag over kwetsbaarheden in zowel de Flash- als Shockwave-software van Adobe. Volgens de experts zijn die producten kwetsbaar doordat die zijn ontwikkeld met dezelfde ‘buggy’ code van Microsoft die dat bedrijf gebruikt in diens Active Template Libraries (ATL). Deze bibliotheek is onderdeel van Visual Studio en wordt door ontwikkelaars gebruikt om Active X-controls voor Internet Explorer te maken.

Noodpatches schieten tekort

Eerder bleken eigen noodpatches van Microsoft voor IE en Visual Studio niet een volledige oplossing voor het zogenaamde killbit-gat. Applicaties die de besmette Visual Studio-code gebruiken, moeten geheel opnieuw gecompileerd worden.

Door de ontdekte fouten in de ATL-code kunnen bepaalde beveiligingsmaatregelen omzeild worden. Gebruikers van alternatieve browsers zoals Firefox en Opera zijn echter immuun voor het lek omdat zij een andere versie van Flash gebruiken.

Flash en Shockwave het haasje

“We hebben de impact van de kwetsbare versie van Microsoft ATL op onze Adobe-producten onderzocht en vastgesteld dat alleen Flash en Shockwave last van het probleem hebben”, zo concludeert Wendy Poland van Adobe’s beveiligingsteam. Dinsdag verstrekte de Amerikaanse producent een patch voor Shockwave, vandaag is de veel populairdere Flash-speler aan de beurt.

Microsoft heeft gisteren een patch uitgebracht voor de kwetsbare ATL-bibliotheken van Visual Studio, maar die heeft geen invloed op software die is gecompileerd met een oude versie. Softwarefabrikanten moeten met een gepatchte Visual Studio hun applicaties, zoals Adobe met Flash, eerst opnieuw compileren voordat ze een verbeterde versie kunnen uitbrengen. Eerder toonden Duitse onderzoekers aan dat ook tientallen andere programma’s gebruikmaken van dezelfde kwetsbare bibliotheek.

‘92% loopt risico’

Vorige week nog beloofde Adobe een veel ouder lek in Flash te repareren. Dit lek wordt inmiddels actief misbruikt door hackers voor het infecteren van computers met malware. Het Deense bedrijf Secunia zegt dat meer dan 92% van alle Windows-gebruikers hierdoor gevaar loopt. Ook voor dit probleem wordt vandaag een oplossing verwacht.