Adobe entschuldigt sich für ungepatchte Schwachstelle in Flash
Adobe tritt die Flucht nach vorne an und entschuldigt sich offiziell dafür, dass es einen seit 2008 bekannten Fehler im Flash-Plug-in nicht beseitigt hat. Grund der Verzögerung seien Problem bei der internen Abstimmung gewesen.
- Daniel Bachfeld
Adobe tritt die Flucht nach vorne an und entschuldigt sich offiziell dafür, dass es einen seit 2008 bekannten Fehler im Flash-Plug-in nicht beseitigt hat, der zum Absturz des gesamten Browsers führt. Das Problem beruht auf einer Null-Pointer-Dereferenzierung beim mehrfachen Laden einer URL durch ein Flash-Applet.
Zwar lässt sich der Fehler nicht zum Kompromittieren eines Systems missbrauchen, dennoch nimmt Adobe Meldungen über solche Probleme nach eigenen Angaben sehr ernst – intern werden sie (normalerweise) mit sehr hoher Priorität behandelt. Webseiten-Entwicklern dürfe es nicht möglich sein, mit ActionScript oder anderen Tricks den Browser zum Absturz zu bringen.
Emmy Huang, Produkt-Managerin für den Adobe Flash Player, erklärt in ihrem Blog, der Fehler sei den Entwicklern deshalb durchgerutscht, weil man sich zum Zeitpunkt der Meldung in der abschließenden Phase für die Veröffentlichung des Flash Player 10 befunden habe. Unglücklicherweise habe man dann vorgesehen, den Fehler im nächsten Release zu schließen – also erst in der Version 10.1 . Die liegt bislang nur als Beta-Version vor, der Fehler ist dort aber beseitigt. Zudem habe man versäumt, den Entdecker der Lücke, den Entwickler Matthew Dempsey, über die Vorgänge zu informieren.
Der Vorfall scheint die Entscheidung von Apple zu stützen, den Flash-Player nicht ins iPad integrieren zu wollen. Nach Aussage von Jobs sei der Flash Player zu fehlerhaft und Adobe zu faul. Ohnehin würde bald niemand mehr Flash benötigen, die Welt wechsele auf HTML5, das Audio und Video auch ohne Plug-ins unterstützt.
Siehe dazu auch:
(dab)
