Adobe will Lücke in Shockwave erst im Februar schließen

Adobe wird die kritische Sicherheitslücke in Shockwave erst im Februar beseitigen. Durch sie ist es möglich, Multimedia-Inhalte mit einer älteren Shockwave-Version wiederzugeben. Dadurch wiederum könnten Hacker erlaubt, mehrere Jahre alte Schwachstellen auszunutzen, um Schadcode einzuschleusen und auszuführen, warnt das US-CERT.

Adobe ist seit 27. Oktober über die Anfälligkeit informiert. Die Schwachstelle wird nach Auskunft einer Sprecherin aber erst am 12. Februar mit einem größeren Upgrade für Shockwave behoben. “Uns sind keine aktiven Exploits oder Angriffe bekannt, die diese spezielle Technik nutzen”, zitiert Computerworld die Adobe-Sprecherin Wiebke Lips. Das Problem stelle kein hohes Risiko für Nutzer dar.

Das US-CERT bezieht sich auf Unterlagen von Adobe, wonach eine ältere Version des ActiveX Control heruntergeladen wird, wenn ein Nutzer auf Inhalte trifft, die zur Wiedergabe nicht speziell die aktuelle Shockwave-Version 11 anfordern. Shockwave wird für Dateien benötigt, die mit Macromedia oder Adobe Director erstellt wurden. Dazu gehören auch Flash-Inhalte. Das ActiveX Control wiederum wird laut US-CERT für Microsofts Internet Explorer verwendet. Es ist auch Bestandteil von Plug-ins für andere Browser.

Die Vorgängerversion Shockwave 10 enthalte mehrer Anfälligkeiten. Das Downgrade auf die ältere Version mache zudem Adobes Flash-Anwendung für Angriffe anfällig, heißt es weiter in dem Bericht.

Adobe prüft derzeit zwei Untersuchungsberichte des US-CERT. Sie beschreiben das Downgrade auf eine ältere Flash-Version durch Shockwave, was Nutzer von Windows und Mac OS X betreffen soll, sowie Probleme mit den als “Xtras” bezeichneten Shockwave-Komponenten, die ebenfalls gefährlich sein können.