Adobe hat eine aktualisierte Version 9.0.124.0 seines Flash-Players für Windows, Linux, Mac und Solaris veröffentlicht, in der sieben Sicherheitslücken geschlossen sein sollen. Angreifer können durch die Lecks laut Bericht mittels präparierter SWF-Dateien die Kontrolle über den Rechner übernehmen. Dazu genügt der Besuch einer manipulierten Webseite oder das Öffnen einer SWF-Datei mit einer Anwendung die den Flash-Player nutzt. Bei einer der Lücken handelt es sich um die kürzlich im Rahmen des Wettbewerbs „Pwn to Own“ entdeckte Schwachstelle, mit der der Teilnehmer Shane Macaulay ein Vista-Notebook gehackt hatte.
Offenbar tritt das Problem auf, wenn der Flash-Player versucht, auf nicht richtig instanziierte ActionScript-Objekte zuzugreifen. Dazu soll es laut Bericht der Zero-Day-Initiative erforderlich sein, das ActionScript-Tag DeclareFunction2 zu manipulieren. Um bei seinem Flash-Hack unter Windows Vista die Datenausführungsverhinderung (DEP) auszutricksen, musste Macaulay einen kleinen Umweg über Java gehen. Offenbar funktioniert Java unter Windows Vista nicht, wenn dafür die DEP aktiviert ist – weshalb sie für Java in der Regel ausgeschaltet ist.