Adobe Shockwave niezałatane od ponad dwóch lat

Podejście niektórych firm do usuwania zgłoszonych błędów jest bulwersujące. Kilka miesięcy, które na załatanie krytycznych błędów w Javie potrzebuje Oracle to i tak nic w porównaniu z Adobe, które od dwóch lat ignoruje błędy w platformie Shockwave.

Adobe Shockwave to narzędzie, służące do tworzenia interaktywnych elementów umieszczanych na stronach www. Jeśli pod tym linkiem widzicie animację zamiast komunikatu o braku wtyczki, to Wasza przeglądarka obsługuję tę technologię. Jeśli z niej korzystacie, to lepiej ją wyłączyć.

W październiku 2010 US CERT zgłosił Adobe poważny błąd w filozofii działania Shockwave. Okazuje się, że odpowiednio spreparowany plik Shockwave może zmusić przeglądarkę to zainstalowania nieaktualnego dodatku, tzw. „Xtra”. Xtra służy np. do wyświetlenia zawartości stworzonej we Flashu. Z nieznanych powodów Shockwave nie korzysta z Flasha zainstalowanego w systemie, tylko odwołuje się do swojej własnej wersji. Jeśli w systemie użytkownika brak Xtra odpowiadającego za obsługę Flasha, to plik Shockwave może zainstalować wersję, która będzie do niego dołączona. Pozwala to atakującemu zainstalować w systemie użytkownika starą wersję dodatku, posiadającą znane błędy, łatwe do wykorzystania. Co również nie bez znaczenia, użytkownik nie jest pytany o zgodę na instalację Xtra – następuje ona automatycznie, bez żadnej interakcji.

Czemu Adobe do tej pory nie załatało tej luki? Firma twierdzi, że nie są jej znane żadne ataki, aktywnie wykorzystujące tę metodę zdobycia wyższych uprawnień w systemie. US CERT czekał dwa lata z ujawnieniem tego błędu (oraz dwóch innych), jednak zdecydował się w końcu na publikację. Adobe poinformowało, że błąd zostanie usunięty w nowej wersji Shockwave, którą planuje wydać w lutym 2013. Zdecydowanie polecamy naszym Czytelnikom usunięcie tej wtyczki, zanim błąd zaczną wykorzystywać exploit packi. A w Shockwavie bez wątpienia drzemie więcej dziur…