Adobe heeft een patch uitgebracht voor de Flash Player-plug-in voor browsers. Het gaat om een kritiek lek waarmee een aanvaller een remote code execution kon uitvoeren op een systeem. Het is de derde beveiligingspatch die Adobe dit jaar uitbrengt voor de Player, en mogelijk de laatste.
De kwetsbaarheid staat bekend als CVE-2020-9746. Het gaat volgens Adobe om een 'kritiek lek'. Het is een null-pointer-dereference-kwetsbaarheid die voorkomt als een programma naar het geheugen met een null-pointer schrijft. Het is op die manier mogelijk een arbitrary code execution uit te voeren, schrijft Adobe.
De kwetsbaarheid zit in de plug-in voor browsers en de desktopsoftware. Het gaat om versies die ouder zijn dan 32.0.0.433, in zowel de Adobe Flash Desktop Runtime voor Windows, macOS en Linux, de browserversies voor Chrome en versie 32.0.0.387 van Flash voor Edge en Internet Explorer 11. Adobe zegt dat het inmiddels een update voor het lek heeft. Gebruikers krijgen die automatisch, maar kunnen die ook handmatig downloaden.
De patch is de derde die in 2020 wordt uitgebracht voor een beveiligingslek in de Flash Player. Mogelijk is het ook de laatste beveiligingspatch ooit voor de software. Die wordt per 1 januari 2021 uitgefaseerd. De software is dan end-of-life en krijgt dan geen beveiligingsupdates meer.