Adobe flickt Shockwave-Lücke nach 2 Jahren

Eine gefährliche Sicherheitslücke in Adobes Shockwave Player soll im Februar geflickt werden - über zwei Jahre, nachdem die Lücke erstmals gemeldet wurde. Damals hatte das U.S. Computer Emergency Readiness Team (CERT) Adobe auf das Problem aufmerksam gemacht. Die Lücke macht sich bemerkbar, wenn eine Webseite alte Multimedia-Inhalte anbietet, die in den Parametern nach der nicht mehr aktuellen Shockwave-Version 10 verlangen. Dann lädt das ActiveX-Steuerelement im Internet Explorer die veraltete Shockwave-Version 10.4.0.025 herunter.

Wie meist bei veralteten Software-Versionen, bietet auch die entsprechende Shockwave-Version reichlich Angriffsfläche. So sei es mit entsprechend manipulierten Shockwave-Inhalten möglich, beliebigen Code auszuführen. Zusätzlich kommt laut CERT hinzu, dass durch die mit dem Shockwave-Player mitgelieferten «Xtras» auch beispielsweise eine ältere Version des Flash-Players installiert werden könnte, die dann ihrerseits ebenfalls eigentlich längst geflickte Sicherheitslücken offenbart.
Adobe selbst hat jetzt angekündigt, die Lücke mit dem für den 12. Februar geplanten nächsten grossen Shockwave-Update zu beheben. Man wisse nicht von aktiven Exploits, die diese Lücke ausnutzten, so das Unternehmen. Die Lücke betrifft nicht nur das Shockwave-Steuerelement im Internet Explorer, sondern auch die entsprechenden Plug-Ins in anderen Browsern.