Adobe verspricht bald Patch 2-jährige Shockwave-Fehler

Adobe plant im Februar, ein gefährliches Loch in seiner Shockwave-Anwendung zu schließen, durch das die Anwendung bei einem Benutzer heruntergestuft wird lanciert ältere Multimedia-Inhalte und ermöglicht es Hackern, jahrelange Sicherheitslücken zu finden.

Das US Computer Emergency Readiness Team (US CERT) hat eine Sicherheitsempfehlung herausgegeben, die es einem Angreifer ermöglichen könnte, Schadsoftware auszuliefern und beliebigen Code auszuführen eine der gefährlichsten Arten von Fehlern.

US CERT hat Adobe am 27. Oktober 2010 über das Problem informiert, aber ein Adobe-Sprecher sagte am Mittwoch, dass das Problem mit dem nächsten großen Upgrade von Shockwave, das für den 12. Februar geplant ist, geschlossen wird. [

[Weitere Informationen: So entfernen Sie Malware von Windows PC]

"Mit dieser speziellen Technik sind uns keine aktiven Exploits oder Angriffe in freier Wildbahn bekannt", sagt Wiebke Lips, Senior Managerin bei Adobe Corporate Communications. Adobe sah das Problem nicht als hohes Risiko für Benutzer an.

Shockwave wird zum Wiedergeben von Inhalten verwendet, die in Macromedia und Adobe Director erstellt wurden. Es bietet erweiterte Tools zum Erstellen interaktiver Inhalte, einschließlich Flash.

U.S. CERT zitierte die Adobe-Dokumentation, die besagt, dass ein älteres ActiveX-Steuerelement heruntergeladen wird, das Komponenten des älteren Shockwave 10-Players herunterlädt, wenn ein Benutzer auf Inhalte stößt, die nicht die Verwendung der neuesten Shockwave-Version 11 vorschreiben. Shockwave verwendet ein ActiveX-Steuerelement, wenn Inhalte im Microsoft Internet Explorer angefordert werden und nach US CERT als Plug-in in anderen Browsern vorhanden sind.

Flash-Fehler zitiert

Die Shockwave 10-Laufzeitumgebung enthält Sicherheitslücken sowie die Xtras der Anwendung, "welche Bestandteile des Inhalts sind. Das Downgrade von Shockwave auf eine ältere Version eröffnet auch die Flash-Multimedia-Anwendung von Adobe für Angriffe, so die Agentur.

"Aufgrund dieses Designs können Angreifer einfach Sicherheitslücken in der Shockwave 10-Laufzeitumgebung oder einem der von Shockwave bereitgestellten Xtras ausgleichen 10, schrieb US CERT. "Zum Beispiel bietet die ältere Version von Shockwave Flash 8.0.34.0, das am 14. November 2006 veröffentlicht wurde und mehrere bekannte Sicherheitslücken enthält."

U.S. CERT hat zwei weitere Dokumente veröffentlicht, in denen die Probleme mit Xtras und Flash beschrieben werden, die Adobe laut Analyse analysiert. Die erste betrifft Shockwaves Herabstufung auf eine ältere Flash-Version, die sowohl Windows als auch den Apple Mac betrifft. Die zweite betrifft das Problem bösartiger Xtras.

"Wir kennen auch keine aktiven Exploits oder Angriffe in freier Wildbahn mit diesen Techniken", sagte Lips.

Senden Sie News-Tipps und Kommentare an [email protected]. Folge mir auf Twitter: @jeremy_kirk