Adobe обещает скоро заплатить 2-летнюю ошибку Shockwave

Adobe планирует в феврале закрыть опасное отверстие в своем приложении Shockwave, которое заставляет приложение быть пониженным, когда пользователь запускает старый мультимедийный контент, позволяя хакерам ориентироваться на летние уязвимости.

Команда США по готовности к чрезвычайным ситуациям (US CERT) опубликовала рекомендацию об уязвимости, которая может позволить злоумышленнику доставить вредоносное ПО и выполнить произвольный код, который считается один из самых опасных видов недостатков.

США CERT уведомил Adobe о проблеме 27 октября 2010 года, но пресс-секретарь Adobe заявил в среду, что проблема будет закрыта следующим крупным обновлением Shockwave, запланированным на 12 февраля.

[Дополнительная информация: Как удалить вредоносное ПО с вашего Windows PC]

«Мы не знаем о каких-либо активных эксплойтах или атаках в дикой природе с использованием этой конкретной техники», - сказал Вибек Липс, старший менеджер корпоративных коммуникаций Adobe. Adobe не рассматривала проблему с высоким уровнем риска для пользователей.

Shockwave используется для воспроизведения контента, созданного в Macromedia и Adobe Director, который предлагает расширенные инструменты для создания интерактивного контента, включая Flash.

U.S. CERT привел документацию Adobe, в которой говорится, что если пользователь сталкивается с контентом, который не указывает на использование последней версии Shockwave 11, загружается старый элемент управления ActiveX, который вытягивает компоненты старшего игрока Shockwave 10. Shockwave использует элемент управления ActiveX, когда контент запрашивается в Microsoft Internet Explorer и присутствует в качестве плагина в других браузерах, согласно US CERT.

Пропущенные ошибки Flash

В среде выполнения Shockwave 10 содержатся уязвимости, а также «Xtras» приложения, "которые являются компонентами контента. По словам агентства, понижение Shockwave до более старой версии также открывает мультимедийное приложение Adobe Flash для атаки.

«Из-за этого дизайна злоумышленники могут просто атаковать уязвимости в среде исполнения Shockwave 10 или любой из Xtras, предоставляемых Shockwave 10 », - пишет US CERT. «Например, устаревшая версия Shockwave предоставляет Flash 8.0.34.0, которая была выпущена 14 ноября 2006 года и содержит несколько известных уязвимостей».

U.S. CERT опубликовал два других документа, описывающих проблемы с Xtras и Flash, которые Adobe заявила, что они анализируют. Первое касается снижения Shockwave до более старой версии Flash, которая затрагивает как Windows, так и Mac от Apple. Вторая проблема связана с проблемой злонамеренных Xtras.

«Мы не знаем о каких-либо активных эксплойтах или атаках в дикой природе, используя эти методы», - сказал Липс.

Отправьте новостные советы и комментарии на [email protected]. Следуйте за мной в Twitter: @jeremy_kirk