Adobe schließt kritische Shockwave-Lücke erst im Februar 2013

Adobe wird erst im Februar eine kritische Sicherheitslücke in Shockwave beseitigen. Durch einen Fehler ist es möglich, Multimedia-Inhalte mit einer älteren Shockwave-Version wiederzugeben, was es Hackern erlaubt, mehrere Jahre alte Schwachstellen auszunutzen, um Schadcode einzuschleusen und auszuführen, warnt das US-CERT.

Adobe ist seit 27. Oktober über die Anfälligkeit informiert. Die Schwachstelle wird nach Auskunft einer Sprecherin aber erst am 12. Februar mit einem größeren Upgrade für Shockwave behoben. „Uns sind keine aktiven Exploits oder Angriffe bekannt, die diese spezielle Technik nutzen“, zitiert Computerworld Adobe-Sprecherin Wiebke Lips. Das Problem stelle kein hohes Risiko für Nutzer dar.

Das US-CERT bezieht sich auf Unterlagen von Adobe, wonach eine ältere Version des ActiveX Control heruntergeladen wird, wenn ein Nutzer auf Inhalte trifft, die zur Wiedergabe nicht speziell die aktuelle Shockwave-Version 11 anfordern. Shockwave wird für Dateien benötigt, die mit Macromedia oder Adobe Director erstellt wurden. Dazu gehören auch Flash-Inhalte. Das ActiveX Control wiederum wird laut US-CERT für Microsofts Internet Explorer verwendet. Es ist auch Bestandteil von Plug-ins für andere Browser.

Die Vorgängerversion Shockwave 10 wiederum weise mehrere Schwachstellen auf, heißt es weiter in dem Bericht. Das Downgrade auf die ältere Version mache zudem Adobes Flash-Anwendung anfällig für Angriffe.

Adobe prüft derzeit zwei Untersuchungsberichte des US-CERT. Sie beschreiben das Downgrade auf eine ältere Flash-Version durch Shockwave, was Nutzer von Windows und Mac OS X betreffen soll, sowie Probleme mit als „Xtras“ bezeichneten Shockwave-Komponenten, die ebenfalls gefährlich sein können.