image

Beveiligingslekken teisteren Shockwave Player

dinsdag 18 december 2012, 16:42 door Redactie, 9 reacties

De Amerikaanse overheid waarschuwt gebruikers van Adobe Shockwave Player voor drie problemen waardoor gebruikers een besmette computer kunnen oplopen. Het eerste probleem is dat de versie die Adobe op de eigen website aanbiedt, versie 11.6.8.638, een kwetsbare versie van Adobe Flash bevat. Shockwave Player wordt zowel in een 'Slim' als 'Full' versie aangeboden.

De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.

Aangezien er nog geen oplossing is, adviseert het Amerikaanse Computer Emergency Readiness Team (US-CERT) een kill-bit in te stellen.

Downgrade
Het tweede probleem waar het US-CERT voor waarschuwt is dat Shockwave kwetsbaar voor een downgrade is. Als een gebruiker Shockwave content vanuit de browser start, en de website geen versie 11 opgeeft, wordt stilletjes Shockwave 10.4.0.025 gedownload en geinstalleerd.

Vervolgens kan een aanvaller lekken in deze kwetsbare versie misbruiken. Wederom wordt een kill-bit geadviseerd om het ActiveX Control uit te schakelen.

Xtras
Het laatste probleem is dat Shockwave Player door Adobe of Macromedia gesigneerde Xtras zonder waarschuwing installeert. Een aanvaller zou een kwetsbare Xtra kunnen aanbieden en hier vervolgens misbruik van maken.

Een Xtra is een uitbreiding voor de mediaspeler die indien nodig wordt gedownload. Als de Xtra gesigneerd is door Adobe of Macromedia, verloopt de installatie geheel automatisch. Ook nu is een kill-bit de aanbevolen oplossing.

Reacties (9)
18-12-2012, 17:01 door Anoniem
Lijkt me beter om dat Shockware Flash helemaal te killen en te verwijderen van de computer. Wat een narigheid allemaal weer ... zucht.
18-12-2012, 17:02 door 0101
http://www.kb.cert.org/vuls/id/546769
Date Notified Date Updated
27 Oct 2010 27 Oct 2011
Zucht. Zodra ik thuis ben gooi ik 'm van mijn PC af.
18-12-2012, 17:03 door Fabian76
Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt. Nu zal HTML5 ook vast niet zaligmakend zijn, maar veel slechter zal het er ook niet van worden.
18-12-2012, 17:33 door [Account Verwijderd]
[Verwijderd]
18-12-2012, 17:51 door SirDice
Door Fabian76: Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt.
Mee eens maar Shockwave is geen flash.

http://en.wikipedia.org/wiki/Adobe_Shockwave
18-12-2012, 21:53 door Anoniem
Wordt shockwave nog ergens gebruikt?
Bij ons wordt die al lang niet meer geïnstalleerd op de computers en de gebruikers hebben daar bij mijn weten geen problemen mee.
18-12-2012, 22:58 door Anoniem
Welke media heeft nog ondersteuning nodig van ShockwavePlayer? Het meer recente FlashPlayer herbergt dat toch allemaal in zich?

Jan O
19-12-2012, 02:29 door AA_CS
Door SirDice:
Door Fabian76: Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt.
Mee eens maar Shockwave is geen flash.

http://en.wikipedia.org/wiki/Adobe_Shockwave

Uit het artikel:
De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.

Naast de problemen van Shockwave zelf is Flash dus weldegelijk een probleem.
19-12-2012, 10:38 door SirDice
Door AA_CS: Naast de problemen van Shockwave zelf is Flash dus weldegelijk een probleem.
Het probleem is meer dat Shockwave een oude en lekke versie van Flash heeft ingebouwd. Neemt inderdaad niet weg dat Flash een probleem is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.