Er is opnieuw een kwetsbaarheid in Flash onthuld die is ontdekt door het Hacking Team. Het is het tweede lek dat in korte tijd op internet wordt gepubliceerd. Het gaat om een zero day-kwetsbaarheid, waardoor gebruikers waarschijnlijk risico lopen.
Een Indiase hacker meldde de vondst op Twitter en publiceerde de kwetsbaarheid op Pastebin. Wie geïnteresseerd is in de details moet een zip-bestand downloaden. Of en in welke mate de bewuste bug in de praktijk wordt misbruikt door aanvallers is niet bekend. Wel is duidelijk dat Flash-gebruikers op zowel Windows, Linux als OS X risico lopen, al zouden Windows-gebruikers met Firefox en Chrome immuun zijn. Ook de laatste build van Windows 10 met de Edge-browser zou geen gevaar lopen.
Adobe heeft op zijn website bekendgemaakt dat het weet van het lek in zijn software. Naar verwachting wordt er volgende week een patch uitgebracht voor Flash. Zelf omschrijft de softwaremaker de gepubliceerde kwetsbaarheid als een 'critical vulnerability'.
Het gaat om de tweede gepubliceerde zero day-kwetsbaarheid in Flash die in korte tijd is gepubliceerd. De eerste kwam eerder deze week uit, maar werd toen al snel gepatcht door Adobe. Deze bug zou in drie exploit-kits zijn te vinden, met de namen Angler, Neutrino en Nuclear. Afnemers van deze kits kunnen zonder veel moeite malware injecteren in de pc's van anderen. Daardoor is aannemelijk dat dit lek wel actief werd misbruikt.
Zowel de eerste als de tweede bug komt uit de inventaris van het Hacking Team. Deze organisatie speurt naar exploits in software om daar vervolgens hack-kits omheen te bouwen. Die verkopen zij vervolgens aan anderen, bijvoorbeeld overheden. Het bedrijf ligt daarom al langer onder vuur, onder meer omdat het zaken doet met dubieuze regimes. De door het Hacking Team gevonden exploits zijn naar buiten gekomen omdat de organisatie zelf is gehackt, waarbij 400GB aan bestanden zijn buitgemaakt.