Adobe heeft een noodpatch uitgebracht voor twee zeer ernstige beveiligingslekken in Flash Player die aanvallers actief misbruiken om zowel Mac- als Windows-computers over te nemen. Niet eerder kwam het voor dat een zero-day beveiligingslek in de mediaspeler actief werd ingezet om verschillende platformen te kapen. De aanvallen zouden op verschillende manieren plaatsvinden.

De eerste aanvalsmethode is het via e-mail versturen van een Microsoft Word document waarin een kwaadaardig Flash-bestand zit ingebed. Dit bestand misbruikt een lek in de ActiveX-versie van Flash Player op Windows en heeft als CVE-nummer CVE-2013-0633 meegekregen.

Mac OS X
Daarnaast vinden er ook aanvallen plaats waarbij kwaadaardige content op websites wordt geplaatst die een ander lek in Flash Player via Firefox en Safari op het Macintosh platform misbruiken. Daarnaast wordt dit lek ook via het eerder beschreven e-mailscenario tegen Windows-gebruikers ingezet. Deze kwetsbaarheid staat bekend als CVE-2013-0634.

Het lek in de ActiveX-versie is door het Russische anti-virusbedrijf Kaspersky Lab gerapporteerd. De aanval via CVE-2013-0634 is door de Shadowserver Foundation, MITRE en het Lockheed Martin Computer Incident Response Team gerapporteerd.

De laatste twee organisaties rapporteerden in het verleden vaker beveiligingslekken die bij gerichte aanvallen waren ingezet.

Noodpatch
Adobe adviseert internetgebruikers de noodpatch direct te installeren. Zowel Windows- als Mac-gebruikers moeten dit meteen doen. Flash Player is op 99% van alle computers geïnstalleerd. Updaten kan via Adobe.com en verdient de voorkeur boven de automatische update-functie, aangezien die elke week pas controleert.

In het geval van IE10 op Windows 8 wordt de update via Windows Update geïnstalleerd. Gebruikers die eenvoudig willen zien welke versie ze nu geïnstalleerd hebben en wat de laatste versie is, kunnen naar deze pagina van Adobe toe.