image

Adobe Shockwave bevat 15 maanden oude Flash Player

donderdag 22 mei 2014, 10:25 door Redactie, 3 reacties

Gebruikers van Adobe Shockwave Player op zowel Windows als Mac lopen risico, aangezien de software een 15 maanden oude versie van Flash Player bevat. Shockwave Player is een browserplug-in voor het afspelen van media. De software bevat een gebundelde versie van Flash Player.

De Flash Player-versie die met Shockwave Player zit gebundeld dateert van januari 2013, zo waarschuwde het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit vorige week. Beveiligingsonderzoeker Will Dormann waarschuwde het publiek al in 2012 via deze advisory voor het probleem. Adobe zou hij al in 2010 over het probleem hebben ingelicht.

Het probleem wordt vergroot doordat het voor een aanvaller eenvoudiger is om de lekken in Flash Player via Shockwave aan te vallen dan via Flash Player zelf. Shockwave blijkt bepaalde beveiligingsmaatregelen van Windows namelijk niet te gebruiken. "Niet alleen de kwetsbaarheden zijn er, ze zijn ook eenvoudiger te misbruiken", aldus Dormann tegenover IT-journalist Brian Krebs.

Adobe bevestigt het probleem en stelt dat de volgende versie van Shockwave Player een bijgewerkte versie van Flash Player zal bevatten. "We zijn ons beveiligingsupdateproces aan het herzien om de risico's in Shockwave Player te verhelpen", aldus Adobe-woordvoerster Heather Edell. Volgens Adobe is Shockwave Player op 200 miljoen computers geïnstalleerd.

Reacties (3)
22-05-2014, 15:20 door Anoniem
Hoe is het dan met de nieuwste subversie van flashplayer 13.0.0.214 ?.
Ook heb ik de nu nieuwste versie van shokwaveplayer geinstalleerd.
Om het duidelijk te zeggen welk OS ik gebruik voor de andere mensen hier op het forum gebruik ik OSX Maverics 10.9.3
Ik heb namelijks twee macs in gebruik.
22-05-2014, 17:38 door Anoniem
Waar hadden gebruikers shockwave ook al weer voor nodig?
23-05-2014, 13:43 door Anoniem
Ook voor Mac OS X? - foutje(s) en eigenaardigheden

* Constatering voor afwijking / weergave FlashPlayer plugin versie niet te vinden
* Wel een OS X versie string fout in de Shockwave 12 uninstaller (waardoor die niet werkt in sommige gevallen)

Op de inhoud :
In het CVE waar Dormann naar verwijst, http://www.kb.cert.org/vuls/id/323161 , wordt het volgende beweerd :

Adobe Shockwave Player 12.1.1.151 and earlier versions on the Windows and Macintosh operating systems provide a vulnerable version of the Flash runtime.

The "Full" installer for Shockwave player 12.1.1.151 provides Flash version 11.5.502.146, which was released on January 8, 2013.This version of Flash contains several exploitable vulnerabilities. Note that Shockwave uses its own Flash runtime, provided by the file Flash Asset.x32, rather than using a Flash runtime that may be installed on a system-wide basis.

Wel een specifieke omschrijving voor Windows in dit CVE, niet voor de Mac.
Proberen te controleren voor Shockwave 12 voor Mac OS X 10.6 en later.

Software :
Shockwave voor Os X 10.6 en hoger : Shockwave Installer Full 64bit.dmg
Installeert volgens opgave : Shockwave versie 12

Het installeert :
- In de internet plugins library de plugin: DirectorShockwave.plugin , version 12.1.1r151 Copyright 1985-2013 Adobe Systems
- Extra shockwave files in de 'HardDisk' > library > application support > adobe directory ; een 'Shockwave 12' directory met daarin :

* DirectorShockwave.bundle, version 12.1.1r151 Copyright 1985-2013
* de 'bekende' 'Xtras' directory met de volgende files;
Animated GIF Asset.xtra, AudioFilters.xtra, AudioMixer.xtra, BitmapFilters.xtra, Bootstrap PPC Xtra.xtra, CBrowser PPC Xtra.xtra, CoreAudioMix.xtra, Cursor Asset.xtra, DVD Asset.xtra, Dynamiks_320.xtra, Dynamiks.xtra, F4VAsset.xtra, Flash Asset PPC.xtra, FLVAsset.xtra, Font Asset PPC.xtra, Font Xtra PPC.xtra, InetUrl PPC Xtra.xtra, LRG Import Export.xtra, Mix Services.xtra, MP4Asset.xtra, MPEG 3 Import Export.xtra, Multiusr.xtra, NetFile PPC Xtra.xtra, NetLingo PPC Xtra.xtra, PNG Import Export.xtra, QuickTime6 Asset.xtra, RealMedia Asset.xtra, Shockwave 3D Asset Xtra.xtra, Sound Control.xtra, Sound Import Export.xtra, Speech.xtra, Sun AU Import Export.xtra, SWA Decompression PPC Xtra.xtra, SWA Import Export.xtra, SWA Streaming PPC Xtra.xtra, Targa Import Export.xtra, TextAsset PPC.xtra, TextXtra PPC.xtra, TIFF Import Export.xtra, XmlParser PPC Xtra.xtra

In welk file de FlashPlugin versie opgave gevonden?
Note that Shockwave uses its own Flash runtime, provided by the file Flash Asset.x32

Op de Mac zoekende, deze misschien?
- "FLVAsset.xtra"
<string>FLVAsset</string>
<key>CFBundleGetInfoString</key>
<string>12.1.1r151 Copyright 1985-2013 Adobe Systems, Inc. All rights reserved.</string>

Deze PPC (?!!) variant ?
- "Flash Asset PPC.xtra"
<string>Flash Asset PPC</string>
<key>CFBundleGetInfoString</key>
<string>12.1.1r151 Copyright 1985-2013 Adobe Systems, Inc. All rights reserved.</string>

Zie geen 11.5.502.146 versie opgave in de buurt komen, wel 12.1.1r151 : is dat dan een variatie op een reguliere FlashPlayer plugin versie 12?
Dat zou wel heel opvallend zijn, de versie naam van de Shockwave installer is zelf al 12, daar hoef je geen onderzoeker voor te zijn. Verder heb ik niet de indruk dat de FlashPlayer plugin en de Shockwave plugin versie nummering exact synchroon lopen, heb ik dat dan mis?

Waar ik ook kijk in de installer bestanden en na installatie in de geïnstalleerde bestanden, bijvoorbeeld de 'info.plist's en verder voorzover 'readable, zie ik versienummer 12.1.1r151 staan.

Mac PPC - IBM powerPC Mac's pré mid2006 :
Opmerkelijk is wel dat veel bestanden in de Xtras directory nog een PPC specificatie in de naam hebben terwijl PPC Mac's van het pré IntelMac tijdperk zijn. In de 'Info.plist's zijn dan wel weer (opmerkelijk genoeg) de minimum OS vereisten op OS X 10.6 gezet.
OS X 10.6 is op te vatten als een IntelMac string want is het eerste Mac OS X dat niet meer op de PPC Mac's kon draaien.

Eén Xtras file vormt op bovenstaande nog een uitzondering, namelijk; "Multiusr.xtra" met opgave "CFBundleShortVersionString="11.5.0r593". Deze plist heeft ook geen minimum OS versie opgave, krijg de indruk dat dat in eerdere versies (11 en eerder) bij de Xtras files nooit werd gedaan.
Vergeten aan te passen?

Oude code - Strings aangepast? :
Is een deel van de oude Shockwave PPC universal binary code (van voor juni 2011) simpelweg geüpdatet naar intel met het toevoegen van de minimum OS X vereiste sting 10.6 (Intel OS X) en daarmee 'zogenaamd' van universal code naar Intel code gepromoveerd?
Waarom nog de PPC omschrijvingen aangehouden als die er niet meer toe doen? Immers de laatste FlashPlayer plugin versie van Adobe voor PPC Mac is Adobe FlashPlayer 10.3, version 10.3.181.14 van mei 2011.
Opmerkelijk.

Browser weergave test :
Een test met installeren van Shockwave biedt geen uitkomst, FlashPlayer Plugin vooraf verwijderd.
In de browser plugin weergave wordt eveneens versie 12.1.1r151 gemeld.

Verder lijkt deze shockwave alleen onder Safari standaard video content te willen / kunnen afspelen. Of dat aan de bezochte websites ligt weet ik niet.
Mogelijk alleen ondersteuning voor video content onder Safari vind ik wat al te krap.

Uninstaller Fout(je) :
Bij de versienummer weergave en string weergave zoektocht ontdek ik wel wat anders, ik denk dat dat echt om een foutje van Adobe gaat.
De installer voor Shockwave 12 geeft als minimum vereiste OS X 10.6 aan terwijl de bijbehorende uninstaller een minimumvereiste heeft van OS X 10.7 .

Test gedaan met een OS X 10.6 versie, uninstaller geeft inderdaad een 'Niet geschikt voor dit OS X' icoon.
Nog verder getest, de minimum OS X versie string van 10.7 aangepast naar OS X 10.6.
De Shockwave 12 uninstaller applicatie werkt dan wel naar behoren en deïnstalleert Shockwave 12 dan wel en zonder problemen.

'Grote vraag' :
Waar anders in de Shockwave code kan dan de opgegeven Flash 11.5.502.146 versie gedetecteerd worden.
Voor de Mac kan ik het niet vinden; zag ik het niet of is het er niet en dus onjuist?

De enige indicatie die er is voor eventueel oudere versie is de jaaropgave '2013' in de copyright string :
<key>CFBundleLongVersionString</key>
<string>12.1.1r151 Copyright 1985-2013 Adobe Systems, Inc. All rights reserved.</string>
Maar in hoeverre daar waarde gehecht aan moet worden?

Security :
Verder ben ik het geheel eens met Krebs, het sluit ook aan bij de security adviezen en constateringen voor het gevaar van het gebruik of geïnstalleerd hebben van een (Full) Shockwave.
Namelijk dat door de extra functionaliteit die Shockwave heeft (de Xtras) ook het aanvals oppervlak vergroot wordt. En niet te vergeten dat je met een up to date FlashPlayer plugin niet veilig bent als daarnaast een verouderde Shockwave plugin actief is die ook nog eens meer functionaliteit biedt die misbruikt kan worden.

Flash krijgt al jaren veel aandacht, Shockwave wordt door 'iedereen' vergeten lijkt het. Eigenlijk had dat al die tijd omgedraaid moeten zijn. Gek genoeg is het zelfs zo onbekend dat ook de virus / malware makers deze plugin over het hoofd lijken te zien met het voornamelijk targeten van de FlashPlayer plugin.
200 miljoen installaties te min?

Voor de gebruikers dan weer een voordeel bij een nadeel.
Shockwave plugin in je browser deactiveren, Shockwave internetplugin uit je internetplugin directory verwijderen (DirectorShockwave.bundle) of Shockwave helemaal deïnstalleren lijkt me vanuit security maatregelen goed om te overwegen.

P.s.
De uninstaller is overigens handig maar heb je in principe niet nodig, het kan ook handmatig verwijderd worden.
- DirectorShockwave.bundle verwijderen uit je internet plugins folder verwijderen
- De Shockwave directory verwijderen onder 'Harddisk' > library > application support > Adobe > Shockwave 12 (of 11 of 10 / 9 ?!)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.