Artikel top billede

Adobe vil først lukke to år gammel sårbarhed i 2013

En kritisk sårbarhed på din computer vil først blive lukket til næste år, selv om den har været kendt i mere end to år.

Computerworld News Service: Adobe planlægger til februar at lukke et farligt sikkerhedshul i Shockwave, der gør det muligt at få softwaren til at nedgradere sig selv, når brugeren åbner ældre multimedieindhold.

Det gør det muligt for datakriminelle at udnytte sårbarheder, der for længst er lukkede.

USA's Computer Emergency Readiness Team (US-Cert) har for nylig udgivet et varsel om sårbarheden, som gør det muligt for en hacker at levere malware og afvikle arbitrær kode via fjernadgang, hvilket anses for at være den farligste form for sårbarhed i software.

US-Cert gjorde Adobe opmærksom på problemet 27. oktober 2010.

En talsperson for Adobe oplyser, at problemet vil blive løst i den næste store opgradering af Shockwave, der ifølge planen vil blive udgivet 12. februar.

"Vi kender ikke til nogen aktive exploits eller angreb i omløb, der benytter denne teknik," udtaler Wiebke Lips, der er senior manager for corporate communications hos Adobe. Selskabet anser ikke sårbarheden for at udgøre nogen stor risiko for brugerne.

Shockwave bruges til at afspille indhold skabt i programmerne Macromedia og Adobe Director, som tilbyder avancerede muligheder for at skabe interaktivt indhold heriblandt i Flash-format.

US-Cert henviser til dokumentation fra Adobe, hvori det beskrives, at hvis en bruger støder på indhold, der ikke overholder specifikationerne til den nyeste version 11 af Shockwave, så downloades automatisk en ældre ActiveX-kontrol, der benytter komponenter fra den ældre version 10 af Shockwave-afspilleren.

Shockwave bruger ifølge US-Cert en ActiveX-kontrol, når der forespørges indhold i Microsofts Internet Explorer og er i andre browsere til stede som et plugin.

Runtimen af Shockwave 10 indeholder sårbarheder, hvilket også er tilfældet for komponenter af ekstraindhold, som Adobe kalder Xtras. Nedgraderingen af Shockwave til version 10 gør også Adobes Flash sårbar for angreb, advarer US-Cert.

"På grund af dette design kan angribere simpelthen udnytte sårbarheder i runtimen af Shockwave 10 eller nogen del af Xtras, der leveres af Shockwave 10," skriver US-Cert.

"Den forældede version af Shockwave inkluderer for eksempel Flash 8.0.34.0, som udkom 14. november 2006 og indeholder mange kendte sårbarheder."

US-Cert har offentliggjort to yderligere dokumenter, der beskriver problemerne med Xtras og Flash, som Adobe hævder at være ved at analysere.

Det første dokument handler om Shockwaves nedgradering til en ældre version af Flash, hvilket påvirker både Windows og Mac OS X. Det andet dokument handler om problemet med det sårbare ekstraindhold.

"Vi er heller ikke bekendt med nogen aktive exploits eller angreb i omløb, der benytter disse teknikker," oplyser Lips.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere