Nieuws

Beveiligingslekken teisteren Shockwave Player

dinsdag 18 december 2012, 16:42 door Redactie, 9 reacties

De Amerikaanse overheid waarschuwt gebruikers van Adobe Shockwave Player voor drie problemen waardoor gebruikers een besmette computer kunnen oplopen. Het eerste probleem is dat de versie die Adobe op de eigen website aanbiedt, versie 11.6.8.638, een kwetsbare versie van Adobe Flash bevat. Shockwave Player wordt zowel in een 'Slim' als 'Full' versie aangeboden.

De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.

Aangezien er nog geen oplossing is, adviseert het Amerikaanse Computer Emergency Readiness Team (US-CERT) een kill-bit in te stellen.

Downgrade
Het tweede probleem waar het US-CERT voor waarschuwt is dat Shockwave kwetsbaar voor een downgrade is. Als een gebruiker Shockwave content vanuit de browser start, en de website geen versie 11 opgeeft, wordt stilletjes Shockwave 10.4.0.025 gedownload en geinstalleerd.

Vervolgens kan een aanvaller lekken in deze kwetsbare versie misbruiken. Wederom wordt een kill-bit geadviseerd om het ActiveX Control uit te schakelen.

Xtras
Het laatste probleem is dat Shockwave Player door Adobe of Macromedia gesigneerde Xtras zonder waarschuwing installeert. Een aanvaller zou een kwetsbare Xtra kunnen aanbieden en hier vervolgens misbruik van maken.

Een Xtra is een uitbreiding voor de mediaspeler die indien nodig wordt gedownload. Als de Xtra gesigneerd is door Adobe of Macromedia, verloopt de installatie geheel automatisch. Ook nu is een kill-bit de aanbevolen oplossing.

'Laserwapen voor politie groot succes'

Windows security-update laat fonts verdwijnen

Reacties (9)

18-12-2012, 17:01 door Anoniem

Lijkt me beter om dat Shockware Flash helemaal te killen en te verwijderen van de computer. Wat een narigheid allemaal weer ... zucht.

18-12-2012, 17:02 door 0101

http://www.kb.cert.org/vuls/id/546769

Date Notified Date Updated
27 Oct 2010 27 Oct 2011

Zucht. Zodra ik thuis ben gooi ik 'm van mijn PC af.

18-12-2012, 17:03 door Fabian76

Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt. Nu zal HTML5 ook vast niet zaligmakend zijn, maar veel slechter zal het er ook niet van worden.

18-12-2012, 17:33 door [Account Verwijderd]

[Verwijderd]

18-12-2012, 17:51 door SirDice

Door Fabian76: Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt.

Mee eens maar Shockwave is geen flash.

http://en.wikipedia.org/wiki/Adobe_Shockwave

18-12-2012, 21:53 door Anoniem

Wordt shockwave nog ergens gebruikt?
Bij ons wordt die al lang niet meer geïnstalleerd op de computers en de gebruikers hebben daar bij mijn weten geen problemen mee.

18-12-2012, 22:58 door Anoniem

Welke media heeft nog ondersteuning nodig van ShockwavePlayer? Het meer recente FlashPlayer herbergt dat toch allemaal in zich?

Jan O

19-12-2012, 02:29 door AA_CS

Door SirDice:

Door Fabian76: Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt.

Mee eens maar Shockwave is geen flash.

http://en.wikipedia.org/wiki/Adobe_Shockwave

Uit het artikel:
De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.

Naast de problemen van Shockwave zelf is Flash dus weldegelijk een probleem.

19-12-2012, 10:38 door SirDice

Door AA_CS: Naast de problemen van Shockwave zelf is Flash dus weldegelijk een probleem.

Het probleem is meer dat Shockwave een oude en lekke versie van Flash heeft ingebouwd. Neemt inderdaad niet weg dat Flash een probleem is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Beveiligingslekken teisteren Shockwave Player

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren