Adobe brengt zijn patches net als Microsoft op de tweede dinsdag van de maand uit, maar dit issue is kritiek genoeg om niet te wachten tot 8 november. Met de bug in versie 23.0.0.185 kunnen aanvallers code uitvoeren zonder dat de gebruiker het merkt, oftewel een drive-by-aanval uitvoeren op een Windows-systeem. Ook Mac, Linux en ChromeOS zijn in principe kwetsbaar, maar de nu ontdekte aanvallen richten zich op Windows 7, 8.1 en 10.

Geheugenfout

De patch repareert de geheugenfout die misbruikt kan worden in Flash Player. Het gaat om een use-after-free-bug. Daarbij richt een aanvaller de malware op een stukje heap-geheugen dat is vrijgegeven door de software om zo eigen code te kunnen injecteren via een eigen gemaakt Flash-object.

Flash is de meestgebruikte software om malware af te leveren bij gebruikers, meldde Symantec eerder dit jaar. Van onderzoekers van Cisco's Talos hoorden we dit jaar op Hack in the Box dat Java-exploits tegenwoordig minder vaak voorkomen. Franse onderzoeker Kaffeine, die op zijn site exploitkits in de gaten houdt, meldde dit jaar uitsluitend niet eerder ontdekte Flash-gaten in EK's.

Dump Flash toch

Zerodays voor klassiekers als Java, Silverlight en IE zijn op hun retour. Die laatste twee worden dan ook steeds minder gebruikt. Ook al is Flash ook allang niet meer nodig, hebben veel doorsnee gebruikers de software nog altijd geïnstalleerd staan, mede omdat bepaalde webplayers (*kuch* Spotify *kuch*) het nog altijd gebruiken - en daar maken criminelen handig misbruik van.