Så er Adobe på skafottet igen. Nu er det Adobe Flash, nærmere bestemt version 9.0.124.0, som kan udnyttes når den behandler Shockwave filer. Et fuldendt angreb tillader afvikling af ondsindet kode på niveau med brugeren af computeren.
Der var engang en joke om Microsoft som bilproducent. Den var meget sjov. Med Adobes historik kunne jeg godt tænke mig at se, hvordan deres historie ville blive vinklet. Måske ville temaet være køkkenudstyr - for deres software minder efterhånden om et dørslag, sigte eller si.
I det aktuelle tilfælde er et besøg på en webside med en specielt udformet Shockwave Flash fil nok til at udnytte sårbarheden. I praksis sker det ved, at et bestemt objekt oprettes og efterfølgende destrueres sammen med alle tilknyttede referencer. Men en reference kan bibeholdes til at pege på objektet, som nu eksisterer i et ikke initialiseret hukommelsesområde. Det kan herefter udnyttes til afvikling af ondsindet kode.
Det kritiske er, at Flash er en standard som benyttes overalt i dag, hvor man ønsker at vise beriget multimedie indhold. Flere websites er opbygget udelukkende i Flash - og flere bannerreklamer er gået i samme retning. Yderligt er der Flash plugins til bredt udvalg af browsere og platforme - herunder Windows, Linux og MacOS.
På iDefense Labs hjemmeside er der en udbydende forklaring på, hvorfor de karakteriserer denne sårbarhed som HIGH. En lige så skræmmende information er, at den første dialog startede den 25. august 2008. Herunder ses den timeline som iDefense Labs angiver:
08/25/2008 - Initial Contact
09/22/2008 - PoC Requested
11/05/2008 - PoC Sent
11/06/2008 - Clarification requested
12/05/2008 - Clarification Sent
12/07/2008 - Additional Clarification Sent
02/19/2009 - Draft bulletin received
02/24/2009 - Coordinated Public Disclosure
Det tog med andre ord seks måneder fra første kontakt til koordineret information kom ud. Det kan derfor undre, at Adobe skal bruge yderligere tid til at få et fix smidt på nettet. Man kan kun håbe på, at der ikke har siddet dygtige kinesiske hackere og fundet den samme sårbarhed. De vil givet vis reagere noget hurtige på at få et exploit ud på nettet.