Aan te brengen Adobe belooft de 2 jaar oude Shockwave-fout

Adobe is van plan in februari een gevaarlijke opening in zijn Shockwave-toepassing te sluiten waardoor de toepassing wordt gedowngraded wanneer een gebruiker lanceert oudere multimedia-inhoud, waardoor hackers zich op jarenoude kwetsbaarheden kunnen richten.

Het Amerikaanse Computer Emergency Readiness Team (US CERT) gaf een advies over de kwetsbaarheid, waardoor een aanvaller malware kon leveren en willekeurige code kon uitvoeren, beschouwd als een van de gevaarlijkste soorten gebreken.

VS CERT bracht Adobe op de hoogte van het probleem op 27 oktober 2010, maar een woordvoerder van Adobe zei woensdag dat het probleem zal worden opgelost met de volgende grote upgrade van Shockwave, gepland op 12 februari.

[Lees meer: ​​Hoe u malware van uw kunt verwijderen Windows-pc]

"We kennen geen actieve exploits of aanvallen in het wild met behulp van deze specifieke techniek", zegt Wiebke Lips, senior manager bij zakelijke communicatie van Adobe. Adobe beschouwde het probleem niet als een groot risico voor gebruikers.

Shockwave wordt gebruikt voor het afspelen van inhoud die is gemaakt in Macromedia en Adobe Director, die geavanceerde hulpmiddelen biedt voor het maken van interactieve inhoud, waaronder Flash.

VS. CERT citeerde Adobe-documentatie die zegt dat als een gebruiker in aanraking komt met inhoud die niet opgeeft dat hij de nieuwste Shockwave-versie 11 gebruikt, er een ouder ActiveX-besturingselement is gedownload dat componenten van de oudere Shockwave 10-speler trekt. Shockwave maakt gebruik van een ActiveX-besturingselement wanneer inhoud wordt aangevraagd in Microsoft Internet Explorer en is aanwezig als een plug-in in andere browsers, volgens US CERT.

Flash-fouten geciteerd

De runtime van Shockwave 10 bevat zowel kwetsbaarheden als de Xtra's van de toepassing, "die componenten van inhoud zijn. Het downgraden van Shockwave naar een oudere versie opent ook de Adobe Flash-multimediatoepassing voor aanvallen, aldus het bureau.

"Vanwege dit ontwerp kunnen aanvallers zich eenvoudig richten op kwetsbaarheden in de Shockwave 10-runtime of op een van de Xtra's die Shockwave biedt 10, "schreef US CERT. "De oudere versie van Shockwave biedt bijvoorbeeld Flash 8.0.34.0, die werd uitgebracht op 14 november 2006 en die meerdere, bekende beveiligingslekken bevat."

VS. CERT heeft twee andere documenten gepubliceerd waarin de problemen met Xtras en Flash worden beschreven, waarvan Adobe zei dat het aan het analyseren was. De eerste betreft het downgraden van Shockwave naar een oudere Flash-versie, die zowel Windows als Apple's Mac beïnvloedt. De tweede heeft betrekking op het probleem van kwaadaardige Xtra's.

"We zijn ons ook niet bewust van actieve exploits of aanvallen in het wild met deze technieken," zei Lips.

Stuur nieuwstips en opmerkingen naar [email protected]. Volg mij op Twitter: @jeremy_kirk