Adobe zal volgende week vrijdag een zeer ernstig lek in Flash voor Mac OS X, Windows en Unix patchen. Via de kwetsbaarheid, die honderden miljoenen computers treft, infecteren cybercriminelen op dit moment kwetsbare systemen met malware. De Russische virusbestrijder Kaspersky Lab geeft gebruikers dan ook het advies om in afwachting op de patch Flash in Adobe Reader en de browser uit te schakelen. De aanval werkt zowel via PDF-bestanden als websites. Eén van de geïnfecteerde PDF-bestanden heeft als onderwerp de etnische rellen in de Chinese stad Urumqi. Volgens Kaspersky Lab is er indirect bewijs dat deze variant van de exploit al begin juli is gemaakt, mogelijk al op 2 juli, en bij verschillende gerichte aanvallen is ingezet.

Gebruikers van Adobe Reader en Acrobat 9.x krijgen van Adobe het advies om het authplay.dll bestand in de software te verwijderen, hernoemen of de toegang er toe te blokkeren. Dit zal er echter voor zorgen dat de applicatie crasht en een foutmelding geeft als men een PDF-bestand met Flash content opent. Vista gebruikers doen er daarnaast verstandig aan om UAC in te schakelen. Als laatste waarschuwt Adobe gebruikers om voorzichtig te zijn bij het bezoeken van onbetrouwbare websites.

Proxy
Tijdens de analyse van de malware die de exploit achterlaat, ontdekten onderzoekers van FireEye dat de code de proxy instellingen van de browser probeert te detecteren, om zo de malware met de Command & Controle server te laten communiceren, ook al zit de geïnfecteerde machine achter een proxy firewall. "Dit laat zien dat virusschrijvers zich bewust zijn van de netwerkconfiguraties binnen grote bedrijven en zich hier specifiek op richten", aldus onderzoeker Atif Mushtaq.

Volgens Mushtaq helpt het niet om de Javascript engine binnen Adobe Reader uit te schakelen. "De beste verdediging is om voorzichtig te zijn met het openen van bestanden van onbetrouwbare bronnen, hoewel dit in het geval van een drive-by aanval niet helpt." Zelf besloot de onderzoeker Flash helemaal van zijn systeem te verwijderen.