25.10.2010, 09:15 Uhr
Wieder kritisches Loch in Shockwave
Schock für Shockwave-User: Ein Sicherheitsforscher hat zu Demozwecken einen Zero-Day-Exploit für eine bis dahin nicht bekannte Sicherheitslücke in der aktuellen Version des Adobe Shockwave Player veröffentlicht. Adobe stuft die Lücke als kritisch ein.
Im Adobe Shockwave Player, dem grossen Bruder des Flash Players, ist eine Sicherheitslücke entdeckt worden, die ausgenutzt werden kann, um eingeschleusten Code auszuführen. Ein Demo-Exploit ist öffentlich verfügbar, ebenso Details zur entdeckten Schwachstelle. Betroffen sind neben der aktuellen Shockwave-Version 11.5.8.612 auch ältere Ausgaben des Multimedia-Plugins für Web-Browser.
Adobe hat die Sicherheitsmeldung APSA10-04 herausgegeben, in der es die Sicherheitslücke für die Windows- und die Mac-Versionen des Shockwave Player bestätigt. Adobe stuft die Lücke als kritisch ein, gibt jedoch an, es seien bislang keine realen Angriffe bekannt, die diese Schwachstelle ausnutzen würden. Einen Termin für die Bereitstellung eines Sicherheits-Updates hat die Firma bislang noch nicht genannt.
Die Sicherheitslücke kann mit Hilfe speziell präparierter Filme oder Animationen im Format von Shockwave Director ausgenutzt werden. Die Schwachstelle beruht auf einer fehlerhaften Verarbeitung bestimmter, vier Bytes grosser Datenblöcke in solchen Dateien.
Die meisten Internet-Nutzer haben lediglich den Flash Player installiert, nicht jedoch den Shockwave Player. Ob man den Shockwave Player installiert hat, kann auf einer Testseite von Adobe überprüft werden. Bis zum Erscheinen einer korrigierten Version sollte man den Shockwave Player möglichst deaktivieren oder deinstallieren.
Adobe hatte zuletzt im August eine neue Shockwave-Version bereit gestellt, um 20 Sicherheitslücken zu beseitigen.
