De Amerikaanse overheid waarschuwt gebruikers van Adobe Shockwave Player voor drie problemen waardoor gebruikers een besmette computer kunnen oplopen. Het eerste probleem is dat de versie die Adobe op de eigen website aanbiedt, versie 11.6.8.638, een kwetsbare versie van Adobe Flash bevat. Shockwave Player wordt zowel in een 'Slim' als 'Full' versie aangeboden.
De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.
Aangezien er nog geen oplossing is, adviseert het Amerikaanse Computer Emergency Readiness Team (US-CERT) een kill-bit in te stellen.
Downgrade
Het tweede probleem waar het US-CERT voor waarschuwt is dat Shockwave kwetsbaar voor een downgrade is. Als een gebruiker Shockwave content vanuit de browser start, en de website geen versie 11 opgeeft, wordt stilletjes Shockwave 10.4.0.025 gedownload en geinstalleerd.
Vervolgens kan een aanvaller lekken in deze kwetsbare versie misbruiken. Wederom wordt een kill-bit geadviseerd om het ActiveX Control uit te schakelen.
Xtras
Het laatste probleem is dat Shockwave Player door Adobe of Macromedia gesigneerde Xtras zonder waarschuwing installeert. Een aanvaller zou een kwetsbare Xtra kunnen aanbieden en hier vervolgens misbruik van maken.
Een Xtra is een uitbreiding voor de mediaspeler die indien nodig wordt gedownload. Als de Xtra gesigneerd is door Adobe of Macromedia, verloopt de installatie geheel automatisch. Ook nu is een kill-bit de aanbevolen oplossing.
Deze posting is gelocked. Reageren is niet meer mogelijk.