Computerworld News Service: Adobe planlægger til februar at lukke et farligt sikkerhedshul i Shockwave, der gør det muligt at få softwaren til at nedgradere sig selv, når brugeren åbner ældre multimedieindhold.
Det gør det muligt for datakriminelle at udnytte sårbarheder, der for længst er lukkede.
USA's Computer Emergency Readiness Team (US-Cert) har for nylig udgivet et varsel om sårbarheden, som gør det muligt for en hacker at levere malware og afvikle arbitrær kode via fjernadgang, hvilket anses for at være den farligste form for sårbarhed i software.
US-Cert gjorde Adobe opmærksom på problemet 27. oktober 2010.
En talsperson for Adobe oplyser, at problemet vil blive løst i den næste store opgradering af Shockwave, der ifølge planen vil blive udgivet 12. februar.
"Vi kender ikke til nogen aktive exploits eller angreb i omløb, der benytter denne teknik," udtaler Wiebke Lips, der er senior manager for corporate communications hos Adobe. Selskabet anser ikke sårbarheden for at udgøre nogen stor risiko for brugerne.
Shockwave bruges til at afspille indhold skabt i programmerne Macromedia og Adobe Director, som tilbyder avancerede muligheder for at skabe interaktivt indhold heriblandt i Flash-format.
US-Cert henviser til dokumentation fra Adobe, hvori det beskrives, at hvis en bruger støder på indhold, der ikke overholder specifikationerne til den nyeste version 11 af Shockwave, så downloades automatisk en ældre ActiveX-kontrol, der benytter komponenter fra den ældre version 10 af Shockwave-afspilleren.
Shockwave bruger ifølge US-Cert en ActiveX-kontrol, når der forespørges indhold i Microsofts Internet Explorer og er i andre browsere til stede som et plugin.
Runtimen af Shockwave 10 indeholder sårbarheder, hvilket også er tilfældet for komponenter af ekstraindhold, som Adobe kalder Xtras. Nedgraderingen af Shockwave til version 10 gør også Adobes Flash sårbar for angreb, advarer US-Cert.
"På grund af dette design kan angribere simpelthen udnytte sårbarheder i runtimen af Shockwave 10 eller nogen del af Xtras, der leveres af Shockwave 10," skriver US-Cert.
"Den forældede version af Shockwave inkluderer for eksempel Flash 8.0.34.0, som udkom 14. november 2006 og indeholder mange kendte sårbarheder."
US-Cert har offentliggjort to yderligere dokumenter, der beskriver problemerne med Xtras og Flash, som Adobe hævder at være ved at analysere.
Det første dokument handler om Shockwaves nedgradering til en ældre version af Flash, hvilket påvirker både Windows og Mac OS X. Det andet dokument handler om problemet med det sårbare ekstraindhold.
"Vi er heller ikke bekendt med nogen aktive exploits eller angreb i omløb, der benytter disse teknikker," oplyser Lips.
Oversat af Thomas Bøndergaard
