Adobe vil først lukke to år gammel sårbarhed i 2013

En kritisk sårbarhed på din computer vil først blive lukket til næste år, selv om den har været kendt i mere end to år.

Computerworld News Service: Adobe planlægger til februar at lukke et farligt sikkerhedshul i Shockwave, der gør det muligt at få softwaren til at nedgradere sig selv, når brugeren åbner ældre multimedieindhold.

Det gør det muligt for datakriminelle at udnytte sårbarheder, der for længst er lukkede.

USA's Computer Emergency Readiness Team (US-Cert) har for nylig udgivet et varsel om sårbarheden, som gør det muligt for en hacker at levere malware og afvikle arbitrær kode via fjernadgang, hvilket anses for at være den farligste form for sårbarhed i software.

US-Cert gjorde Adobe opmærksom på problemet 27. oktober 2010.

En talsperson for Adobe oplyser, at problemet vil blive løst i den næste store opgradering af Shockwave, der ifølge planen vil blive udgivet 12. februar.

"Vi kender ikke til nogen aktive exploits eller angreb i omløb, der benytter denne teknik," udtaler Wiebke Lips, der er senior manager for corporate communications hos Adobe. Selskabet anser ikke sårbarheden for at udgøre nogen stor risiko for brugerne.

Shockwave bruges til at afspille indhold skabt i programmerne Macromedia og Adobe Director, som tilbyder avancerede muligheder for at skabe interaktivt indhold heriblandt i Flash-format.

US-Cert henviser til dokumentation fra Adobe, hvori det beskrives, at hvis en bruger støder på indhold, der ikke overholder specifikationerne til den nyeste version 11 af Shockwave, så downloades automatisk en ældre ActiveX-kontrol, der benytter komponenter fra den ældre version 10 af Shockwave-afspilleren.

Shockwave bruger ifølge US-Cert en ActiveX-kontrol, når der forespørges indhold i Microsofts Internet Explorer og er i andre browsere til stede som et plugin.

Runtimen af Shockwave 10 indeholder sårbarheder, hvilket også er tilfældet for komponenter af ekstraindhold, som Adobe kalder Xtras. Nedgraderingen af Shockwave til version 10 gør også Adobes Flash sårbar for angreb, advarer US-Cert.

"På grund af dette design kan angribere simpelthen udnytte sårbarheder i runtimen af Shockwave 10 eller nogen del af Xtras, der leveres af Shockwave 10," skriver US-Cert.

"Den forældede version af Shockwave inkluderer for eksempel Flash 8.0.34.0, som udkom 14. november 2006 og indeholder mange kendte sårbarheder."

US-Cert har offentliggjort to yderligere dokumenter, der beskriver problemerne med Xtras og Flash, som Adobe hævder at være ved at analysere.

Det første dokument handler om Shockwaves nedgradering til en ældre version af Flash, hvilket påvirker både Windows og Mac OS X. Det andet dokument handler om problemet med det sårbare ekstraindhold.

"Vi er heller ikke bekendt med nogen aktive exploits eller angreb i omløb, der benytter disse teknikker," oplyser Lips.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere


Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere


Sandheden om Schrems II – erhvervslivets nye Cuba-krise

Konsekvenserne af Schrems II kan meget vel gå hen og blive en af de største udfordringer for danske virksomheder i 2021. Så tjek ind på denne onlinebriefing, hvor den hemmelige Schrems II gæst, ComplyCloud og Datatilsynet giver dig indsigt i, hvad dommen i virkeligheden handler om, og hvilke menneskelige hensyn der ligger bag.

29. januar 2021 | Læs mere






Premium
Test: Kæmpestort gaming-headset er perfekt til dine lange Teams-møder - men har også nogle besværligheder
Længe før vi andre blev slået hjem til hjemmekontorets endeløse webmøder har gamerne gennemskuet behovet for komfortabelt grej. Så vi tog danske EPOS top gamingheadset med på arbejde. Læs testen her.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.