Computerworld News Service: Adobe underskylder for at have ladet en 16 måneder gammel fejl i FlashPlayer ligge uden en rettelse, selvom virksomheden har opdateret det populære plugin fire gange, siden fejlen først blev opdaget.
Adobe oplyser, at fejlen er blevet rettet i betaen af Flash Player 10.1, som udkom i november. Den endelige version af Flash Player 10.1 udkommer dog først senere i år.
Sikkerhedsanalytiker Matthew Dempsey var ifølge Adobes offentligt tilgængelige fejl-database først til at rapportere om Flash-sårbarheden 22. september 2008. Fejlen kan udnyttes til at få enhver browser, der har Flash Player 9 eller en nyere version installeret, til at crashe.
Selvom nedbrud af browsere og deres plugins kan virke relativt harmløse, så kan de udnyttes af hackere, som ofte vil være i stand til at afvikle skadelig kode, når en applikation crasher, forklarer Andrew Storms, der er sikkerhedschef hos nCircle Network Security.
Matthew Dempsey har oprettet et website, der demonstrerer såkaldt proof-
of-concept angrebskode, der udnytter sårbarheden. (Advarsel: Dette website vil få en browser til at gå ned, hvis den er udstyret med en nyere version af Flash Player.)
Selvom fejlen er blevet rettet i Flash Player 10.1 beta, så burde den være blevet rettet for længe siden, tilstår en chef fra Adobe.
"Vores fejltagelse var, at vi markerede fejlen til 'næste udgivelse', hvilket er den kommende Flash Player 10.1, i stedet for at markere den til den næste sikkerhedsopdatering af Flash Player 10," skriver Emmy Huang, der er produktchef for Flash Player, i et blogindlæg.
Indrømmer brøler
I de 16 måneder, der er gået, siden Matthew Dempsey rapporterede om fejlen, har Adobe opdateret Flash Player ved fire forskellige lejligheder: En gang sidst i 2008 og igen i februar, juli og december 2009.
Emmy Huang undskylder sig med, at Dempsey rapporterede om fejlen lige op til udgivelsen af Flash Player 10.
"Husk at Flash Player 10 udkom i oktober 2008, så da denne fejl blev rapporteret, stod vi stort set klar til udgivelsen," forklarer hun, men indrømmer, at det alligevel var en brøler:
"Det er min hensigt at følge op med den produktchef, der arbejdede på denne sag, for at sikre, at det ikke sker igen. Det var noget, vi overså, og det tager vi ikke let på."
Emmy Huang kalder også nedbrudsfremkaldende fejl, som visse leverandører afviser som andenrangs-sårbarheder, for "alvorlige 1. prioritets-fejl" og tilføjer, at Adobes målsætning er, at "ActionScript-udviklere bør aldrig kunne crashe Flash Player." ActionScript er det scripting-sprog, som bruges i Flash.
Flash Player 10.1 beta 2 er tilgængelig til Windows, Mac OS X og Linux og inkluderer som sagt rettelsen af Dempseys nedbrudsfremkaldende fejl. Denne beta kan downloades fra Adobe Labs' website.
En talsmand fra Adobe afviser at sætte nogen specifik dato på, hvornår Flash Player 10.1 udkommer, og holder sig i stedet til virksomhedens tidligere udmelding om, at den endelige version bliver tilgængelig engang i første halvår 2010.
Oversat af Thomas Bøndergaard
