Cert-Fi:n mukaan Flash-aukko koskee Adobe Readeriä, Acrobatia ja Flash Player -soitinta niin Windowsissa, Macintoshissa kuin Unixissakin. Hyökkääjä voi kaataa ohjelmiston ja suorittaa omia komentojaan tietokoneella syöttämällä vaarallista tiedostoa verkkosivujen kautta.

Haavoittuvuus liittyy Acrobatin ja Readerin mukana tulevaan authplay.dll kirjastoon. Sitä käytetään muun muassa Flashillä tehtyjen pdf-tiedostoihin sisällytettyjen mediatiedostojen, kuten animaatioiden, toistamiseen.

Adoben mukaan haavoittuvuutta käytetään hyväksi hyökkäyksissä Adobe Reader 9 -sarjan Windows-versioita vastaan.

Korjauksia ensi
torstaina ja perjantaina

Korjaava ohjelmistopäivitys julkaistaan Flash Player 9 - ja 10 -sarjan Windows-, Macintosh- ja Linux-versioille torstaihin heinäkuun 30. päivään mennessä, Reader ja Acrobat 9.1.2 saanevat päivityksen 31. heinäkuuta mennessä.

Päivitykset Solaris-versioille Acrobatista, Readeristä ja Flash Playeristä julkaistaan myöhemmin.

Tällä hetkellä ainoa keino rajoittaa haavoittuvuutta on nimetä tai poistaa Adobe Readerin ja Acrobatin mukana tuleva haavoittuva komponentti authplay.dll, tai rajoittaa sen käyttöoikeuksia. Tällöin ohjelmat kaatuvat, kun niillä avataan pdf-tiedosto joka sisältää Flashillä tuotettua sisältöä.

Windows Vistan käyttäjät voivat hyödyntää UAC:tä (User Access Control) rajoittaakseen mahdollisen hyväksikäytön seurauksia.

Aukko luokiteltiin
uudelleen

Flash-aukko pääsi yllättämään Adoben, joka on tänä vuonna pyrkinyt ryhdistäytymään tietoturvassa satsaten koodin laadun parantamiseen. Yhtiö on Cnet News.comin mukaan ollut tietoinen hyökkäyksen mahdollistaneesta virheestä koko vuoden, mutta luokitteli sen vasta nyt tietoturvauhaksi.

Adoben tuotteista on löytynyt jatkuvasti kriittisiä haavoittuvuuksia, joista monet ovat joutuneet hyökätyiksi ennen korjausta.