Sicherheitsspezialist: Adobe unterschlägt hunderte Lücken im Flash-Player-Update

Offiziell hat Adobe mit dem aktuellen Update für den Flash Player nur 13 Lücken geschlossen, inoffiziell sollen es jedoch mehrere hundert sein. Der für Google tätige Sicherheitsspezialist Tavis Ormandy will selbst 400 davon entdeckt und an Adobe gemeldet haben und kritisiert nun, dass der Hersteller diese zwar geschlossen hat, sie aber im offiziellen Fehlerbericht nicht erwähnt und ihm auch keine "Credits" dafür gibt.

Ormandy will nach eigenen Angaben einen eigenen Fehlerbericht in Kürze veröffentlichen. Ormandy ist kein Unbekannter; er deckt regelmäßig kritische Lücken in Software auf und legte sich etwa im vergangenen Jahr mit Microsoft an.

Warum Adobe nur 13 Lücken erwähnt und die restlichen nicht offiziell dokumentiert, ist noch unklar. Ein Grund könnte die Kooperation zwischen Google und Adobe bei der Fehlersuche im Flash Player sein. Die in diesem Rahmen aufgedeckten Fehler werden vermutlich als intern entdeckte Fehler behandelt – und diese werden laut Richtlinie von Adobe nicht in offiziellen Berichten explizit erwähnt. Ähnlich geht auch Microsoft mit intern gefundenen Lücken um.

Ein Streitpunkt ist offenbar auch, ab wann ein Fehler eine Lücke ist. Nach Adobes Lesart bedarf es offenbar einer CVE-Nummer und eines PoC-Exploits, wohingegen Ormandy wohl nur "unique bugs" gemeldet hat, von denen die meisten per Fuzzing ermittelt wurden.

In Googles Hinweis auf das Flash-Update im Browser Chrome 13.0.782.112 bekommt Ormandy immerhin ein volles Lob: Man danke ihm für die viele Zeit und Rechenleistung, die er für das Entdecken der Lücken aufgebracht habe. (dab)