Adobe erklärt unterschiedliche Zählung bei Flash-Player-Lücken

Brad Arkin, Adobes Sicherheitsbeauftragter, hat offiziell Stellung zu den Vorwürfen genommen, man habe beim letzten Update für den Flash Player 400 Sicherheitslücken unterschlagen. Der Fehlerbericht enthielt nur Beschreibungen zu 13 Sicherheitslücken mit offiziellen CVE-Nummern (Common Vulnerability Enumeration), die eine eindeutige Zuordnung ermöglichen.

Der für das Google-Sicherheitsteam arbeitende Tavis Ormandy echauffierte sich jedoch darüber, dass er 400 potenzielle Sicherheitslücke an Adobe gemeldet habe, diese aber nicht in der Liste auftauchen. Nach Angaben von Arkin habe man die Fehler nicht offiziell erwähnt, da sie im Rahmen des Secure Product Lifecycle (SPLC) entdeckt wurden. Intern entdeckten Fehlern würde nach Maßgabe von Adobe keine CVE-Nummer zugeordnet. CVE-Nummern seien laut Adobe nur für öffentliche bekannte Lücken gedacht. Das gelte auch dann, wenn die Informationen über die Fehler von Partnern kämen – und Google arbeitet zumindest bei der Sicherheit des Flash Players mit Adobe zusammen.

Darüber hinaus sei Ormandy den meisten Fehlern mit Fuzzing auf die Spur gekommen, was zwar zu 400 Abstürzen geführt habe, sich aber auf 104 (unique) Fehler habe reduzieren lassen. Adobe hatte bereits in der ersten Version seines offiziellen Fehlerberichts Ormandy und Google für ihre "großartige Arbeit bei der Verbesserung des Flash-Player-Updates" gedankt, das reichte aber Ormandy nicht. Adobe hat den Bericht nun aktualisiert und Ormandy explizit an erster Stelle mit der CVE-Nummer CVE-2011-2424 eingefügt. Diese fasst nun Ormandys Fehlersammlung zusammen. (dab)