Het bedrijf Zerodium heeft 100.000 dollar uitgeloofd voor een nieuwe aanval die de click-to-play-beveiliging van Adobe Flash Player omzeilt en zonder enige interactie van gebruikers Flash-content uitvoert. Vanwege de aanvallen op Flash Player hebben zowel browserontwikkelaars als Adobe de beveiligingsmaatregel click-to-play geïmplementeerd. Deze maatregel zorgt ervoor dat Flash-content niet automatisch wordt uitgevoerd.

De gebruiker moet voor het uitvoeren van Flash-content eerst een bevestiging geven. De maatregel is zowel in browsers als Microsoft Office aanwezig. De afgelopen maanden zijn er verschillende zeroday-aanvallen geweest waarbij aanvallers een kwaadaardig Flash-object in een Office-document verborgen. Bij het openen van het document werd het Flash-object geladen en vervolgens een kwetsbaarheid in Flash Player gebruikt om het systeem met malware te infecteren. Daarop besloot Adobe om click-to-play ook voor Office beschikbaar te maken. Vanwege de aanvallen nam Microsoft al eerder de beslissing om Flash-content in Office 365 standaard te blokkeren.

Zerodium, dat in het verleden vaker in het nieuws kwam vanwege hoge bedragen voor zeroday-aanvallen, looft nu 100.000 dollar uit voor een aanval die de click-to-play-beveiliging omzeilt. De aanval moet werken op Windows met Google Chrome en Microsoft Edge, alsmede Microsoft Office 365 en 2016. Via de aanval moet elke website of document willekeurige Flash-content kunnen uitvoeren zonder interactie van de gebruiker of het activeren van Flash. Hoewel Flash steeds minder wordt gebruikt staat het nog wel op veel systemen geïnstalleerd. Daarnaast beschikken Chrome en Edge over een embedded Flash Player. Zerodium verkoopt verkregen zeroday-exploits naar eigen zeggen weer door aan een "beperkt aantal" bedrijven en overheden.