Noodpatch Flash duikt vervroegd op

Adobe heeft vaart gezet achter het patchen van de kritieke kwetsbaarheid in Flash. De fix is af en al uitgebracht, in plaats van volgende week, zoals de bedoeling was.

Adobe waarschuwde vorige week voor het kritieke lek in alle versies van Adobe Flash Player. Op dat moment zei Adobe dat een patch nog twee weken op zich zou laten wachten. Toch komt deze noodpatch nu al uit, en daarmee loopt Adobe dus behoorlijk in op het schema.

Gebruikers van Google's webbrowser Chrome hebben deze noodpatch al binnengekregen. Adobe heeft de update namelijk eerst aan Google verstrekt, die Flash-updates meeneemt in de automatische updates voor Chrome. De twee bedrijven hebben daar een overeenkomst voor gesloten.

Ook Reader lek

Hackers kunnen het lek in Flash misbruiken om machines te laten crashen, of om ze over te nemen. Vorige week werd het al actief misbruikt, al waren die aanvallen nog slechts ‘beperkt’ en ‘gericht’. Hetzelfde lek zit ook in Adobe's PDF-software Reader en Acrobat. De noodpatches voor die softwarepakketten staan op de rol voor over twee weken, als Adobe ze niet eveneens vervroegt.

Overigens is de patchprocedure van Adobe de laatste tijd erg verbeterd. Eerder heeft het bedrijf al zijn patchontwikkeling ingekort en daar is een automatische updater voor Reader bijgekomen. Die zorgt voor een dramatische verbetering van de patch-niveaus van de veelgeplaagde software, blijkt u[autoheaders]it het ns.org/top-cyber-security-risks/]nieuwste security-rapport van het onafhankelijke SANS Institute.

Patchsnelheid

Op dit moment heeft Adobe Reader versie 9 bijvoorbeeld een patching ‘half life’ – de tijd die het duurt voordat patches op 50 procent van de machines zijn geïnstalleerd – van 15 dagen. Dat is ongeveer even lang als besturingssysteem Windows, dat op 15,5 dagen zit. Ter vergelijking: Reader versies 7 en 8 zaten in 2009 op een patching half life van 65 dagen.

Zelfs na 6 maanden had zeker 45 procent van de gebruikers de patches nog niet doorgevoerd. In de maanden na dat eerste half jaar zakt dat percentage naar 40 procent. "Dit geeft aan dat implementatie van Adobe Reader-updates voor eindgebruikers een lage prioriteit heeft", stelt het SANS-rapport (PDF). Windows haalt op dit vlak scores van 10 procent of nog lager in geval van kritieke gaten, zoals die waar de Conficker-worm misbruik van maakt.

Bron: Webwereld.nl

Deel dit artikel
Voeg toe aan favorieten