Vaak verdwijnt een kwetsbaarheid van de collectieve radar nadat er een patch is uitgebracht. Zo ook met een gat in Adobe Flex Software Development Kit (SDK) die in november 2011 werd gefixt.

SDK én alle Flash-bestanden

Echter, niet alleen de developmentkit was lek, álle Flash-bestanden die met de brakke SDK-versie (3.x) gemaakt zijn bevatten het gat. En het gros daarvan is nooit gefixt, waardoor duizenden sites die Flash gebruiken nog steeds kwetsbaar zijn.

Door de kwetsbaarheid kunnen malicieuze sites de zogenaamde Same Origin Policy (SOP) in browsers omzeilen. SOP voorkomt dat een script van een site op een andere site kan draaien.

Met de brakke Flash-bestanden kan SOP dus worden omzeild, waardoor kwaadaardige sites gevoelige data van bezoekers, zoals inlog-gegevens of authenticatiecookies van andere sites, kunnen ontvreemden, meldt de IDG Nieuwsdienst.

Adobe geeft het slechte voorbeeld

Onder meer sites van Google, Yahoo, Salesforce, Yandex en gênant genoeg Adobe zelf bleken vier jaar na dato nog kwetsbaar. Die zijn op de hoogte gesteld door de onderzoekers, maar talloze minder prominente sites zijn nu nog steeds kwetsbaar.