Artikel top billede

Adobe vil først lukke to år gammel sårbarhed i 2013

En kritisk sårbarhed på din computer vil først blive lukket til næste år, selv om den har været kendt i mere end to år.

Computerworld News Service: Adobe planlægger til februar at lukke et farligt sikkerhedshul i Shockwave, der gør det muligt at få softwaren til at nedgradere sig selv, når brugeren åbner ældre multimedieindhold.

Det gør det muligt for datakriminelle at udnytte sårbarheder, der for længst er lukkede.

USA's Computer Emergency Readiness Team (US-Cert) har for nylig udgivet et varsel om sårbarheden, som gør det muligt for en hacker at levere malware og afvikle arbitrær kode via fjernadgang, hvilket anses for at være den farligste form for sårbarhed i software.

US-Cert gjorde Adobe opmærksom på problemet 27. oktober 2010.

En talsperson for Adobe oplyser, at problemet vil blive løst i den næste store opgradering af Shockwave, der ifølge planen vil blive udgivet 12. februar.

"Vi kender ikke til nogen aktive exploits eller angreb i omløb, der benytter denne teknik," udtaler Wiebke Lips, der er senior manager for corporate communications hos Adobe. Selskabet anser ikke sårbarheden for at udgøre nogen stor risiko for brugerne.

Shockwave bruges til at afspille indhold skabt i programmerne Macromedia og Adobe Director, som tilbyder avancerede muligheder for at skabe interaktivt indhold heriblandt i Flash-format.

US-Cert henviser til dokumentation fra Adobe, hvori det beskrives, at hvis en bruger støder på indhold, der ikke overholder specifikationerne til den nyeste version 11 af Shockwave, så downloades automatisk en ældre ActiveX-kontrol, der benytter komponenter fra den ældre version 10 af Shockwave-afspilleren.

Shockwave bruger ifølge US-Cert en ActiveX-kontrol, når der forespørges indhold i Microsofts Internet Explorer og er i andre browsere til stede som et plugin.

Runtimen af Shockwave 10 indeholder sårbarheder, hvilket også er tilfældet for komponenter af ekstraindhold, som Adobe kalder Xtras. Nedgraderingen af Shockwave til version 10 gør også Adobes Flash sårbar for angreb, advarer US-Cert.

"På grund af dette design kan angribere simpelthen udnytte sårbarheder i runtimen af Shockwave 10 eller nogen del af Xtras, der leveres af Shockwave 10," skriver US-Cert.

"Den forældede version af Shockwave inkluderer for eksempel Flash 8.0.34.0, som udkom 14. november 2006 og indeholder mange kendte sårbarheder."

US-Cert har offentliggjort to yderligere dokumenter, der beskriver problemerne med Xtras og Flash, som Adobe hævder at være ved at analysere.

Det første dokument handler om Shockwaves nedgradering til en ældre version af Flash, hvilket påvirker både Windows og Mac OS X. Det andet dokument handler om problemet med det sårbare ekstraindhold.

"Vi er heller ikke bekendt med nogen aktive exploits eller angreb i omløb, der benytter disse teknikker," oplyser Lips.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere