Artikel top billede

Adobe vil først lukke to år gammel sårbarhed i 2013

En kritisk sårbarhed på din computer vil først blive lukket til næste år, selv om den har været kendt i mere end to år.

Computerworld News Service: Adobe planlægger til februar at lukke et farligt sikkerhedshul i Shockwave, der gør det muligt at få softwaren til at nedgradere sig selv, når brugeren åbner ældre multimedieindhold.

Det gør det muligt for datakriminelle at udnytte sårbarheder, der for længst er lukkede.

USA's Computer Emergency Readiness Team (US-Cert) har for nylig udgivet et varsel om sårbarheden, som gør det muligt for en hacker at levere malware og afvikle arbitrær kode via fjernadgang, hvilket anses for at være den farligste form for sårbarhed i software.

US-Cert gjorde Adobe opmærksom på problemet 27. oktober 2010.

En talsperson for Adobe oplyser, at problemet vil blive løst i den næste store opgradering af Shockwave, der ifølge planen vil blive udgivet 12. februar.

"Vi kender ikke til nogen aktive exploits eller angreb i omløb, der benytter denne teknik," udtaler Wiebke Lips, der er senior manager for corporate communications hos Adobe. Selskabet anser ikke sårbarheden for at udgøre nogen stor risiko for brugerne.

Shockwave bruges til at afspille indhold skabt i programmerne Macromedia og Adobe Director, som tilbyder avancerede muligheder for at skabe interaktivt indhold heriblandt i Flash-format.

US-Cert henviser til dokumentation fra Adobe, hvori det beskrives, at hvis en bruger støder på indhold, der ikke overholder specifikationerne til den nyeste version 11 af Shockwave, så downloades automatisk en ældre ActiveX-kontrol, der benytter komponenter fra den ældre version 10 af Shockwave-afspilleren.

Shockwave bruger ifølge US-Cert en ActiveX-kontrol, når der forespørges indhold i Microsofts Internet Explorer og er i andre browsere til stede som et plugin.

Runtimen af Shockwave 10 indeholder sårbarheder, hvilket også er tilfældet for komponenter af ekstraindhold, som Adobe kalder Xtras. Nedgraderingen af Shockwave til version 10 gør også Adobes Flash sårbar for angreb, advarer US-Cert.

"På grund af dette design kan angribere simpelthen udnytte sårbarheder i runtimen af Shockwave 10 eller nogen del af Xtras, der leveres af Shockwave 10," skriver US-Cert.

"Den forældede version af Shockwave inkluderer for eksempel Flash 8.0.34.0, som udkom 14. november 2006 og indeholder mange kendte sårbarheder."

US-Cert har offentliggjort to yderligere dokumenter, der beskriver problemerne med Xtras og Flash, som Adobe hævder at være ved at analysere.

Det første dokument handler om Shockwaves nedgradering til en ældre version af Flash, hvilket påvirker både Windows og Mac OS X. Det andet dokument handler om problemet med det sårbare ekstraindhold.

"Vi er heller ikke bekendt med nogen aktive exploits eller angreb i omløb, der benytter disse teknikker," oplyser Lips.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2025

Hvordan du orkestrerer og opdeler SAP-projekter for at opnå gevinster hurtigere? Hvordan påvirker AI fremtiden for SAP i almindelighed og måske også din virksomhed? Dette er blot nogle af de svar du får ved at deltage på denne spændende konference.

03. april 2025 | Læs mere


Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere