Adobe lover at patch 2-årig Shockwave-fejl

Adobe planlægger i februar at lukke et farligt hul i sin Shockwave-applikation, der får applikationen til at blive nedgraderet, når en bruger lancerer ældre multimedieindhold, hvilket gør det muligt for hackere at målrette mod årige sårbarheder.

US Computer Emergency Readiness Team (US CERT) udstedte en rådgivning om sårbarheden, som kunne give en hacker mulighed for at levere malware og udføre vilkårlig kode, der anses for at være en af ​​de farligste slags fejl.

US CERT meddelte Adobe af problemet den 27. oktober 2010, men en Adobe-talsmand sagde onsdag, at problemet vil blive lukket med den næste store opgradering af Shockwave, planlagt til 12. februar. [

[Yderligere læsning: Sådan fjernes malware fra din Windows PC]

"Vi er ikke opmærksomme på aktive udnyttelser eller angreb i naturen ved hjælp af denne teknik," siger Wiebke Lips, senior manager med Adobe Corporate Communications. Adobe anser ikke problemet for brugerne højt.

Shockwave bruges til at afspille indhold, der er oprettet i Macromedia og Adobe Director, som tilbyder avancerede værktøjer til oprettelse af interaktivt indhold, herunder Flash.

USA. CERT citerede Adobe-dokumentation, der siger, at hvis en bruger møder indhold, der ikke angiver at bruge den nyeste Shockwave version 11, downloades en ældre ActiveX-kontrol, der trækker komponenter fra den ældre Shockwave 10-afspiller. Shockwave bruger en ActiveX-kontrol, når indhold er anmodet om i Microsofts Internet Explorer og er til stede som et plugin i andre browsere, i henhold til US CERT.

Citeret Flashfejl

Shockwave 10 runtime indeholder sårbarheder samt applikationens "Xtras, "som er indholdskomponenter. Nedgraderingen af ​​Shockwave til en ældre version åbner også Adobes Flash multimedieapplikation til angreb, siger agenturet.

"På grund af dette design kan angriberne simpelthen målrette mod sårbarheder i Shockwave 10 runtime eller nogen af ​​de Xtras, der leveres af Shockwave 10, "skrev US CERT. "For eksempel leverer den ældre version af Shockwave Flash 8.0.34.0, som blev udgivet den 14. november 2006 og indeholder flere kendte sårbarheder."

USA. CERT har offentliggjort to andre dokumenter, der beskriver problemerne med Xtras og Flash, som Adobe sagde, at det analyserer. Den første vedrører Shockwave's nedgradering til en ældre Flash-version, der påvirker både Windows og Apples Mac. Det andet indebærer problemet med ondsindede Xtras.

"Vi er ikke opmærksomme på nogen aktive udnyttelser eller angreb i naturen, heller ikke ved hjælp af disse teknikker," siger Lips.

Send nyhedstips og kommentarer til [email protected]. Følg mig på Twitter: @jeremy_kirk