Eerder deze week was verwarring ontstaan nadat Microsoft had aangegeven dat Windows XP Service Pack 3, kwetsbaar is voor vijf bugs in Flash, die reeds in 2006 waren opgedoken en verholpen. Hierdoor ontstond de indruk dat er met een upgrade van SP2 naar SP3 een oudere versie van Flash werd geïnstalleerd waarin de bugs nog niet verholpen waren.

Dit blijkt echter niet het geval. Microsoft wilde eerder geen commentaar geven op het euvel, maar besloot dinsdag toch helderheid te verschaffen.

Alleen voor nieuwe installaties

In een verklaring liet het bedrijf weten: "Microsoft levert geen enkele versie van flash in Windows XP Service Pack 3, wanneer deze wordt uitgevoerd als update voor machines waar SP2 op draait."

"Echter, wanneer er een nieuw systeem wordt gebouwd waarop een complete nieuwe versie van XP wordt geïnstalleerd met SP3, dan wordt versie 6 van Flash geïnstalleerd, de versie die ook geleverd werd bij Windows XP Gold. Gebruikers die deze versie niet updaten, zijn onbeschermd tegen hackers die bekende kwetsbaarheden in deze versie van Flash uitbuiten."

Extra onrust

De onduidelijkheid creëerde extra onrust omdat Symantec vorige week ten onrechte meldde dat er een zero-day bug in Flash was ontdekt waar nog geen patch voor was. Later bleek dat deze bug in april al verholpen was met een patch, maar omdat veel mensen de patch niet hebben geïnstalleerd, kon de kwetsbaarheid alsnog op grote schaal uitgebuit worden.

Bron: Techworld