Kritiek Flash-lek valt Macs en Windows-pc's aan
Adobe heeft een noodpatch uitgebracht om een kritiek Flash-lek te repareren dat gebruikers van OS X en Windows onder vuur neemt. Exploits gebruiken Office-documenten om malafide content te starten.
Twee Flash-lekken maken het mogelijk om malafide content te installeren via een Word-document. Daarin wordt de Flash Player aangesproken via de browser om zo malware op een systeem te laden. Er zijn exploits in het wild gezien die het lek in het ActiveX-element van Flash gebruiken om trojans te installeren, zo meldt Adobe in een waarschuwing.
Click-to-play in Office
Het verspreiden van malware via een plug-in is een populaire aanvalsvector bij cybercriminelen en daarom heeft Adobe besloten een click-to-play-feature toe te voegen in een volgende versie van Flash. Daarbij krijgen gebruikers die een Office-document openen een waarschuwing voor de Flash-content, zodat deze zich niet meer automatisch installeert.
Vanaf Office 2010 zijn de rechten van documenten al zodanig ingeperkt dat programma's zich niet meer automatisch kunnen uitvoeren. Click-to-play voor interactieve elementen als Flash en Java is gemeengoed aan het worden in browsers en applicaties om gebruikers te beschermen tegen malware die zich stiekem installeert.
Patch voor Android
De update geldt ook voor Android en Linux. Adobe is Flash aan het uitfaseren op het mobiele besturingssysteem. De Flash Player is daarom in augustus vorig jaar uit de webwinkel Google Play gehaald. De softwaremaker blijft wel gebruikers ondersteunen die Flash voor die tijd hebben geïnstalleerd op een toestel dat voor de software is gecertificeerd.
Hoewel er geen exploits zijn gevonden voor Android en Linux, heeft Adobe toch maar voor de zekerheid de patch aangebracht. Gebruikers van deze besturingssystemen worden dan ook niet geadviseerd om de patch zo spoedig mogelijk uit te rollen, zoals dat wel is gedaan naar gebruikers van Windows en OS X.
Update 11-02-2013: Verklaring Adobe en Flash-element aangepast.