Podejście niektórych firm do usuwania zgłoszonych błędów jest bulwersujące. Kilka miesięcy, które na załatanie krytycznych błędów w Javie potrzebuje Oracle to i tak nic w porównaniu z Adobe, które od dwóch lat ignoruje błędy w platformie Shockwave.
Adobe Shockwave to narzędzie, służące do tworzenia interaktywnych elementów umieszczanych na stronach www. Jeśli pod tym linkiem widzicie animację zamiast komunikatu o braku wtyczki, to Wasza przeglądarka obsługuję tę technologię. Jeśli z niej korzystacie, to lepiej ją wyłączyć.
W październiku 2010 US CERT zgłosił Adobe poważny błąd w filozofii działania Shockwave. Okazuje się, że odpowiednio spreparowany plik Shockwave może zmusić przeglądarkę to zainstalowania nieaktualnego dodatku, tzw. „Xtra”. Xtra służy np. do wyświetlenia zawartości stworzonej we Flashu. Z nieznanych powodów Shockwave nie korzysta z Flasha zainstalowanego w systemie, tylko odwołuje się do swojej własnej wersji. Jeśli w systemie użytkownika brak Xtra odpowiadającego za obsługę Flasha, to plik Shockwave może zainstalować wersję, która będzie do niego dołączona. Pozwala to atakującemu zainstalować w systemie użytkownika starą wersję dodatku, posiadającą znane błędy, łatwe do wykorzystania. Co również nie bez znaczenia, użytkownik nie jest pytany o zgodę na instalację Xtra – następuje ona automatycznie, bez żadnej interakcji.
Czemu Adobe do tej pory nie załatało tej luki? Firma twierdzi, że nie są jej znane żadne ataki, aktywnie wykorzystujące tę metodę zdobycia wyższych uprawnień w systemie. US CERT czekał dwa lata z ujawnieniem tego błędu (oraz dwóch innych), jednak zdecydował się w końcu na publikację. Adobe poinformowało, że błąd zostanie usunięty w nowej wersji Shockwave, którą planuje wydać w lutym 2013. Zdecydowanie polecamy naszym Czytelnikom usunięcie tej wtyczki, zanim błąd zaczną wykorzystywać exploit packi. A w Shockwavie bez wątpienia drzemie więcej dziur…
Komentarze
Przecież od dawna wiadomo, że Adobe leje na błędy… Dlaczego Apple wycofało się z obsługi flasha? Bo był spór o to, że Adobe nie chce naprawiać błędów, bo Apple ma za mały udział rynkowy i Adobe to się nie opłaca, przy czym błąd był taki sam i u MS i u Apple, ale został naprawiony tylko dla Windowsów…
Flash? Shockwave? To jakieś dwudziestowieczne relikty…
Jak wielkim trzeba być nieukiem by łączyć Flasha z technologia Shockwave.
To są dwie różne technologie opierające się na różnych pluginach z czego jedna z drugą nie ma nic wspólnego. Inna sprawa, że Shockwave nie jest rozwijany od 5-6 lat i trzeba być niezłym szczęściarzem by trawić na zawartość www opartą o tę technologię.
Nie zmienia to faktu, że wrzucając Flasha z Shockwave, ktoś wykazuje się wyjątkowym niedoinformowaniem.
Czy tylko mi pod „tym linkiem”, po wejściu na stronę otwiera mi się zapisywanie pliku „dir.dcr”? Chrome (aktualny).
Na jednej stronie jest napisane że jak chrome pobiera ten plik, to nie masz zainstalowanego shockwave