Flash-patch voor actief misbruikte 0-day stilletjes uitgebracht

Het voorheen onbekende beveiligingsgat (een zogeheten zero-day) in Adobe Flash laat aanvallers de volledige controle over een kwetsbare computer overnemen. De kwetsbaarheid (CVE-2018-4877) zit in een geheugenfout (use after free) en is aanwezig in alle Flash-versies tot en met 28.0.0.137.

Windows, macOS, Linux én Chrome OS

Aanvankelijk hadden onderzoekers van Cisco’s securitygroep Talos gemeld dat de nieuwste Flash-versie (uitgekomen op 9 januari) kwetsbaar was. Adobe heeft dit aangevuld met de mededeling dat ook eerdere versies vatbaar zijn. Daarbij meldt de softwareproducent ook dat het gevaar geldt voor Flash op Windows, macOS, Linux en Chrome OS.

Laatstgenoemde is Google’s browserbesturingssysteem dat net zoals de Chrome-browser een ingebouwde Flash plug-in heeft. Hetzelfde geldt voor Flash dat meekomt met Edge, Microsoft beoogde opvolger van Windows-browser Internet Explorer.

Deze eigen Flash-uitvoeringen draaien geïsoleerd in de respectievelijke browsers van Google en Microsoft. Beide leveranciers onderhouden de door hun meegeleverde Adobe-software, op basis van updates die de oorspronkelijke Flash-ontwikkelaar maakt. De door Adobe gemaakte Flash Player Desktop Runtime (beschikbaar voor Windows, macOS en Linux) staat ook in de rij kwetsbare producten.

Druppelsgewijs

Google’s browser Chrome heeft net een update gekregen die het ingebouwde Flash bijwerkt. De nieuwe Flash-versie 28.0.0.161 lijkt afgelopen zaterdag al te zijn uitgegeven. De downloadsite van Adobe biedt op het moment van schrijven echter nog de kwetsbare vorige versie (28.0.0.137) aan. Hetzelfde geldt voor Edge dat draait op Windows 10.

Gebruikers die hun Flash-versie willen controleren, kunnen dat doen door deze About-webpagina van Adobe te bezoeken. Daar wordt ook nog de onveilige versie 28.0.0.137 genoemd als meest courante release van Flash. De multimediasoftware ligt onder vuur van aanvallers die vermoedelijk van Noord-Koreaanse herkomst zijn.

Belofte inlossen

“Adobe is zich bewust van een melding dat een exploit voor CVE-2018-4878 bestaat ‘in the wild’, en [dat die - red.] wordt gebruikt in beperkte, gerichte aanvallen tegen Windows-gebruikers”, waarschuwde Adobe afgelopen donderdag. “Deze aanvallen gebruiken Office-documenten met ingebedde, kwaadaardige Flash-content gedistribueerd via e-mail.” Daarbij heeft de Flash-maker beloofd deze kwetsbaarheid aan te pakken in een release die gepland staat om in de week van 5 februari uit te komen.