Adobe ay ipinapangako na madaling mapagsama ang 2-taon gulang na Shockwave flaw

Adobe plano noong Pebrero upang isara ang isang mapanganib na butas sa Shockwave na application na nagiging sanhi ng downgrade ang application kapag ang isang user naglulunsad ng mas lumang multimedia content, na nagpapahintulot sa mga hacker na ma-target ang mga kahinaan sa taon.

Ang US Computer Emergency Readiness Team (US CERT) ay nagbigay ng advisory tungkol sa kahinaan, na maaaring pahintulutan ang isang magsasalakay na maghahatid ng malware at magsagawa ng arbitrary code, isa sa mga pinaka-mapanganib na uri ng mga depekto.

US Sinabihan ng CERT ang Adobe tungkol sa problema noong Oktubre 27, 2010, ngunit sinabi ng isang tagapagsalita ng Adobe na Miyerkules na ang problema ay isasara sa susunod na major upgrade ng Shockwave, na naka-iskedyul para sa Pebrero 12.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

"Hindi namin alam ang anumang aktibong pagsasamantala o pag-atake sa ligaw gamit ang partikular na pamamaraan," sabi ng Wiebke Lips, senior manager na may mga komunikasyon sa corporate Adobe. Hindi isinasaalang-alang ng Adobe ang mataas na panganib sa mga gumagamit.

Ang Shockwave ay ginagamit upang maglaro ng nilalaman na nilikha sa Macromedia at Adobe Director, na nag-aalok ng mga advanced na tool para sa paglikha ng interactive na nilalaman, kabilang ang Flash.

U.S. Binanggit ng CERT ang dokumentasyon ng Adobe na nagsasabing kung nakatagpo ng isang user ang nilalaman na hindi tumutukoy upang gamitin ang pinakabagong bersyon ng Shockwave 11, ang isang mas lumang kontrol ng ActiveX ay na-download na nakakuha ng mga bahagi ng mas lumang Shockwave 10 na manlalaro. Ang Shockwave ay gumagamit ng kontrol ng ActiveX kapag ang nilalaman ay hiniling sa Internet Explorer ng Microsoft at naroroon bilang isang plugin sa iba pang mga browser, ayon sa US CERT.

Flash flaws nabanggit

Ang Shockwave 10 runtime ay naglalaman ng mga kahinaan pati na rin ang application na "Xtras, "na mga bahagi ng nilalaman. Ang pag-downgrade ng Shockwave sa isang mas lumang bersyon ay nagbukas din ng Flash na multimedia application ng Adobe para sa pag-atake, sinabi ng ahensiya.

"Dahil sa disenyo na ito, ang mga attackers ay maaari lamang i-target ang mga kahinaan sa Shockwave 10 runtime, o alinman sa Xtras na ibinigay ng Shockwave 10, "isinulat ng US CERT. "Halimbawa, ang legacy na bersyon ng Shockwave ay nagbibigay ng Flash 8.0.34.0, na inilabas noong Nobyembre 14, 2006 at naglalaman ng maramihang, kilalang mga kahinaan."

U.S. Nag-publish ang CERT ng dalawang iba pang dokumento na naglalarawan sa mga isyu sa Xtras at Flash, na sinabi ng Adobe na ito ay pag-aaral. Ang unang pag-aalala ng pag-downgrade Shockwave sa isang mas lumang bersyon ng Flash, na nakakaapekto sa parehong Windows at Mac ng Apple. Ang ikalawa ay nagsasangkot sa problema ng malisyosong Xtras.

"Hindi namin alam ang anumang mga aktibong pagsasamantala o pag-atake sa ligaw gamit ang mga pamamaraan na ito," sabi ng Lips.

Magpadala ng mga tip sa balita at komento sa [email protected]. Sumunod kayo sa akin sa Twitter: @jeremy_kirk