Verschillende beveiligingssites berichtten afgelopen dinsdag over kwetsbaarheden in zowel de Flash als Shockwave software van Adobe. Volgens de experts zijn de producten kwetsbaar doordat bij de ontwikkeling ervan gebruik is gemaakt van ‘buggy’ code van Microsoft in haar Active Template Libraries (ATL). Deze bibliotheek is onderdeel van Visual Studio en wordt door ontwikkelaars gebruikt om Active X-controls voor Internet Explorer te maken. Door de fouten in de ATL-code kunnen bepaalde beveiligingsmaatregelen omzeild worden. Gebruikers van alternatieve browsers zoals Firefox en Opera zijn immuun voor het lek omdat zij gebruikmaken van een andere versie van Flash.

Flash en Shockwave het haasje

“We hebben de impact van de kwetsbare versie van Microsoft ATL op onze Adobe-producten onderzocht en vastgesteld dat alleen Flash en Shockwave last van het probleem hebben”, zo concludeert Wendy Poland van Adobe’s veiligheidsteam. Dinsdag verstrekte de Amerikaanse producent een patch voor Shockwave, vandaag is de veel populairdere Flash-speler aan de beurt.

Onder druk van een presentatie op Black Hat, waarin werd uitgelegd hoe je kill-bits moet omzeilen, heeft Microsoft deze week een patch uitgebracht voor de kwetsbare ATL-bibliotheken van Visual Studio, maar deze werkt niet door op software waarbij een oude versie voor het compileren is gebruikt. Softwarefabrikanten moeten met een gepatchte Visual Studio software als Flash eerst opnieuw compileren voordat een verbeterde versie uitgebracht kan worden. Eerder toonden Duitse onderzoekers aan dat ook tientallen andere programma’s gebruikmaken van dezelfde kwetsbare bibliotheek.

‘92% loopt risico’

Vorige week nog beloofde Adobe een veel ouder lek in Flash te repareren. Dit lek wordt inmiddels actief misbruikt door hackers voor het infecteren van computers met malware. Het Deense bedrijf Secunia zegt dat meer dan 92% van alle Windows gebruikers hierdoor risico loopt. Voor dit probleem wordt ook vandaag een oplossing verwacht. Bron: Techworld