Az elmúlt héten sokan felkapták a fejüket, mikor Tavis Ormandy - aki a Google szakértője, és mellesleg nem szokott finomkodni, ha hibajelentésről van szó - Twitteren bejelentette, hogy az Adobe Flash aktuális javítócsomagjában kb. 400 hibát javítottak, miközben a bulletin mindössze 13 hibajegyet tartalmazott. 

El kellett telnie néhány napnak, mire tisztázódtak a dolgok, de szerencsére ebben az esetben összeborulással zárult a történet. A Google és az Adobe is hivatalos blogposztban emlékezik meg az esetről, ezeken keresztül pedig érdekes információkkal lehetünk gazdagabbak a két óriáscég biztonsági csoportjainak együttműködésével kapcsolatban.

A 400 hiba nem tévedés, a Google-nél a Chrome-Flash integráció miatt nagyszabású fuzz teszteket végeznek a lejátszón. Ehhez jelen esetben a keresőóriás adatbázisainak segítségével először összeszedtek 20 TB SWF fájlt, melyekből egy olyan részhalmazt választottak ki, amelyek lejátszásakor a Flashben a lehető legtöbb kód-útvonal kerül bejárásra. Ehhez 2000 CPU magra és kb. egy hétre volt szükség. Végül a kiválaszott 20.000 fájlt három héten keresztül mutációs algoritmussal fuzzolták a 2000 magon, így esett ki 400 különbözőnek látszó hiba.

Ezek közül első körben 106 különböző biztonsági problémát azonosítottak, melyeket nagyjából 80 kódmódosítással javítottak. Mivel azonban az Adobe nem szokott CVE azonosítókat rendelni a belső vizsgálatok során felfedezett, nem kihasznált hibákhoz, Ormandy és csapatának munkájára csak a köszönetnyílvánító szekcióban utaltak.

És akkor néhány tanulság:

• A CVE jegyek számának összehasonlítása egy nagyon rossz módszer egy termék biztonsági szintjének megállapításához, hiszen sok problémához nem rendelnek ilyen azonosítókat.
• A cégek közti együttműködésnek eredményeként rövid idő alatt sok hibát lehet javítani.
• A Flash még ennyi év és rászánt kutatás után is ontja magából a hibákat...