Adobe heeft in de nieuwste versie van Flash Player een beveiligingsoptie geïntroduceerd die gebruikers tegen aanvallen via Microsoft Office-documenten moet beschermen. Aanvallers maken steeds vaker gebruik van Office-documenten om Flash Player-gebruikers via zeroday-lekken aan te vallen.
Het gaat in dit geval om kwetsbaarheden waarvoor nog geen update beschikbaar is. De Office-documenten die de aanvallers naar een doelwit versturen bevatten een Flash-object dat automatisch wordt uitgevoerd zodra de gebruiker het document opent. Op deze manier kunnen ook gebruikers die Flash Player in de browser hebben geblokkeerd of uitgeschakeld worden aanvallen. Dit jaar zijn er al twee van dergelijke zeroday-aanvallen waargenomen. Op 7 juni bracht Adobe in de vorm van Flash Player 30 nog een noodpatch uit voor één van deze zeroday-aanvallen.
Om gebruikers tegen de aanvalsvector via Office-documenten te beschermen biedt Flash Player 30 een nieuwe beveiligingsoptie. Deze optie, click-to-play, zorgt ervoor dat een Flash-object niet meer automatisch wordt uitgevoerd als de gebruiker een document opent. Eerder werd deze maatregel via Flash Player 27 al voor Internet Explorer geïntroduceerd. Volgens Adobe blijkt uit de recente zeroday-aanvallen op Flash Player dat die alleen via IE en Microsoft Office worden aangevallen. Vanwege de aanvallen heeft Microsoft besloten om Flash standaard in Office 365 te blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.