Het bedrijf heeft een advisory uitgebracht waarin het waarschuwt voor een kritiek lek in alle versies van Adobe Flash Player, inclusief die voor smartphoneplatform Android. Hetzelfde lek zit ook in Adobe Reader en in Adobe Acrobat.

Aanvallers kunnen het lek misbruiken om machines te laten crashen om die vervolgens mogelijk over te nemen. Het lek wordt nu actief misbruikt, maar voorlopig alleen met behulp van Flash Player op Windows. Tegenover Webwerelds Amerikaanse zustersite Computerworld noemt een woordvoerster van Adobe de aanvallen “beperkt” en “gericht.”

Noodpatches over 2 weken

Adobe is bezig een patch voor dit lek te maken, maar die zal voor Flash nog zeker twee weken op zich laten wachten. De patch voor Adobe Reader en Acrobat komt nog een week later.

Voor het patchen van deze lekken last Adobe dus een extra patchronde in. Normaal gesproken krijgen de programma’s van Adobe om de drie maanden updates. Dat geldt echter alleen voor de PDF-applicaties van Adobe. De Flash-software van het bedrijf heeft geen vaste timing voor patches. Adobe's kwartaalupdate valt telkens samen met de maandelijkse Patch Tuesday van Microsoft.

Tweede lek in een week

Deze nieuwe zero-day bug is niet de enige die Adobe het leven zuur maakt. Op 8 september bracht het bedrijf ook al een advisory uit, waarin het bekend maakte dat er aanvallen worden uitgevoerd op een ongepatchte bug in Adobe Reader. Ook deze bug zal over drie weken in de noodpatch voor Reader worden gedicht.

Voor die tijd kunnen gebruikers de tool EMET van Microsoft gebruiken om zich te beschermen. Ingenieurs Fermin J. Serna en Andrew Roths van het ontwikkelteam van EMET, zagen in de zero-day aanvallen een mooie kans om hun tool, waarvan net een nieuwe versie is uitgekomen, wat meer bekendheid te geven.

Bron: Webwereld.nl