Zowel Google als Adobe hebben openheid van zaken gegeven naar aanleiding van de tweet van een Google-werknemer en onafhankelijk onderzoeker, die rapporteerde dat hij vierhonderd lekken in Adobe Flash Player had gerapporteerd. Tot ongenoegen van onderzoeker Tavis Ormandy, vermeldde Adobe deze problemen niet in de advisory voor Flash Player die afgelopen dinsdag verscheen. Daarin werden in totaal dertien kwetsbaarheden gemeld en apart dankwoord voor Ormandy en het Google Security Team. De tweet van Ormandy zorgde voor een kleine discussie met een PR-dame van Adobe, gevolgd door allerlei artikelen dat Adobe vierhonderd lekken in Flash Player zou verzwijgen. Iets waar Ormandy Adobe ook van beschuldigde. "Ze proberen de resultaten de verbergen", zo merkte hij op.

Beide bedrijven zijn nu met een verklaring gekomen. Google laat in de eigen verklaring weten dat het de gigantische rekenkracht waarover het beschikt, heeft gebruikt voor het testen van Adobe Flash Player. Bij fuzz-testen wordt een programma met allerlei bestanden en datastromen bestookt, net zolang totdat het crasht. Een crash kan mogelijk op een te misbruiken lek duiden.

Google gebruikte hiervoor twintig terabytes aan Flash-bestanden, waar het uiteindelijk via tweeduizend CPU cores een verzameling van tenminste twintigduizend bestanden maakte. De bestanden en de tweeduizend cores werden vervolgens drie weken lang op Flash Player losgelaten. Dat resulteerde in vierhonderd unieke crashmeldingen, wat uiteindelijk 106 individuele beveiligingslekken bleken te zijn. Adobe voerde vervolgens tachtig aanpassingen aan de code door om de lekken op te lossen.

Stiekem
Het is al lange tijd bekend dat Adobe stiekem beveiligingslekken in Flash Player dicht. Het gaat hier om lekken die het zelf heeft gevonden en die het niet aan het publiek rapporteert. De kwetsbaarheden die als onderdeel van de Adobe Secure Product Lifecycle (SPLC) worden gerapporteerd, krijgen geen CVE-nummer. Dit nummer dient als publieke referentie voor een beveiligingslek. Adobe beschouwde de test van Google als onderdeel van de SPLC en besloot de lekken geen CVE nummer toe te kennen en ook niet aan het publiek te melden. "Dit zorgde voor verwarring, aangezien het Google security team een andere aanpak heeft voor het toekennen van CVE-nummers", zegt Adobe beveiligingschef Brad Arkin.

Adobe heeft daarom voor alle beveiligingslekken die Google rapporteerde het CVE-nummer 2011-2424 toegekend. Om hoeveel unieke lekken het nu werkelijk gaat en hoeveel CVE-nummers daar 'normaal' aan worden gekoppeld, wil Adobe niet meer onderzoeken. Het bedrijf zegt dat het de tijd liever besteedt aan het beveiligen van Flash Player dan het doorspitten van de change logs.