Een antieke en gênante Flash-kwetsbaarheid speelt weer op. Via de Flash-plugin in Chrome blijkt het mogelijk om ongemerkt de webcam en microfoon op de pc van een slachtoffer aan te zetten en foto’s en audio te uploaden. De exploit wordt geactiveerd als een gebruiker zonder het te weten op een speciaal geprepareerd, transparant Flash-object klikt, ontdekte security-onderzoeker Egor Homakov, die een proof-of concept bouwde.

De exploit werkt vergelijkbaar met clickjacking. Een dergelijke kwetsbaarheid bestaat al sinds 2008, en werd door Adobe in 2011 gepatcht. De softwaremaker laat aan The Register weten, dat Flash in het algemeen niet het probleem is, dat zou zich alleen voordoen bij de plugin-versie voor Chrome, die door Google zelf wordt onderhouden.

Flash favoriet doelwit

Normaliter is Google sneller met patchen van Flash dan Adobe zelf, maar hier is blijkbaar iets mis gegaan. Volgens Adobe komt Google deze week nog met een patch. Flash is al jarenlang een van de meest populaire doelwitten van hackers en malwareschrijvers. Ondanks pogingen van onder meer Apple om Flash naar de geschiedenisboeken te verbannen is Flash nog steeds erg populair, vooral voor video en online games.

UPDATE 19 juni: inmiddels heeft Google een patch voor het lek uitgebracht en rolt het een update uit voor Chrome.