Zero-day kwetsbaarheden in Flash en Internet Explorer gedicht

De zero-day kwetsbaarheden in zowel Flash als Internet Explorer 11 zijn gedicht. Adobe en Microsoft stellen hiervoor updates beschikbaar. In ieder geval het lek in Flash wordt actief door cybercriminelen misbruikt.

De datalekken zijn afkomstig uit de interne data die onlangs bij het Italiaanse spionagebedrijf HackingTeam werd gestolen. HackingTeam levert software waarmee overheden en opsporingsinstanties verdachten kunnen monitoren. Om dit mogelijk te maken maakt het bedrijf gebruik van zero-day kwetsbaarheden.

Eigen code draaien op systemen

Beide kwetsbaarheden maakte het mogelijk eigen code te draaien op systemen van slachtoffers. De kwetsbaarheid in Internet Explorer is overigens nooit in handen gekomen van HackingTeam. Beveiligingsbedrijf Vectra ontdekte dat een onderzoeker het lek heeft geprobeerd te verkopen aan het Italiaanse bedrijf. In de e-mailwisseling over dit onderwerp is de kwetsbaarheid zelf niet te vinden, maar zijn dusdanig veel aanwijzingen te vinden dat het bestaan van het lek wordt bevestigd.

Het uitlekken van de kwetsbaarheden is een flink probleem. Doordat de gaten nog niet eerder aan het licht waren gekomen konden gebruikers weinig doen om zich tegen aanvallen die hier gebruik van maakten te beschermen. Zo konden zij in het geval van Flash alleen besluiten Flash in zijn geheel uit te schakelen. Met de nieuwe updates worden de beveiligingsgaten gedicht.