Nieuws

Beveiligingslekken teisteren Shockwave Player

dinsdag 18 december 2012, 16:42 door Redactie, 9 reacties

De Amerikaanse overheid waarschuwt gebruikers van Adobe Shockwave Player voor drie problemen waardoor gebruikers een besmette computer kunnen oplopen. Het eerste probleem is dat de versie die Adobe op de eigen website aanbiedt, versie 11.6.8.638, een kwetsbare versie van Adobe Flash bevat. Shockwave Player wordt zowel in een 'Slim' als 'Full' versie aangeboden.

De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.

Aangezien er nog geen oplossing is, adviseert het Amerikaanse Computer Emergency Readiness Team (US-CERT) een kill-bit in te stellen.

Downgrade
Het tweede probleem waar het US-CERT voor waarschuwt is dat Shockwave kwetsbaar voor een downgrade is. Als een gebruiker Shockwave content vanuit de browser start, en de website geen versie 11 opgeeft, wordt stilletjes Shockwave 10.4.0.025 gedownload en geinstalleerd.

Vervolgens kan een aanvaller lekken in deze kwetsbare versie misbruiken. Wederom wordt een kill-bit geadviseerd om het ActiveX Control uit te schakelen.

Xtras
Het laatste probleem is dat Shockwave Player door Adobe of Macromedia gesigneerde Xtras zonder waarschuwing installeert. Een aanvaller zou een kwetsbare Xtra kunnen aanbieden en hier vervolgens misbruik van maken.

Een Xtra is een uitbreiding voor de mediaspeler die indien nodig wordt gedownload. Als de Xtra gesigneerd is door Adobe of Macromedia, verloopt de installatie geheel automatisch. Ook nu is een kill-bit de aanbevolen oplossing.

'Laserwapen voor politie groot succes'

Windows security-update laat fonts verdwijnen

Reacties (9)

18-12-2012, 17:01 door Anoniem

Lijkt me beter om dat Shockware Flash helemaal te killen en te verwijderen van de computer. Wat een narigheid allemaal weer ... zucht.

18-12-2012, 17:02 door 0101

http://www.kb.cert.org/vuls/id/546769

Date Notified Date Updated
27 Oct 2010 27 Oct 2011

Zucht. Zodra ik thuis ben gooi ik 'm van mijn PC af.

18-12-2012, 17:03 door Fabian76

Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt. Nu zal HTML5 ook vast niet zaligmakend zijn, maar veel slechter zal het er ook niet van worden.

18-12-2012, 17:33 door [Account Verwijderd]

[Verwijderd]

18-12-2012, 17:51 door SirDice

Door Fabian76: Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt.

Mee eens maar Shockwave is geen flash.

http://en.wikipedia.org/wiki/Adobe_Shockwave

18-12-2012, 21:53 door Anoniem

Wordt shockwave nog ergens gebruikt?
Bij ons wordt die al lang niet meer geïnstalleerd op de computers en de gebruikers hebben daar bij mijn weten geen problemen mee.

18-12-2012, 22:58 door Anoniem

Welke media heeft nog ondersteuning nodig van ShockwavePlayer? Het meer recente FlashPlayer herbergt dat toch allemaal in zich?

Jan O

19-12-2012, 02:29 door AA_CS

Door SirDice:

Door Fabian76: Het wordt nu toch echt eens tijd dat Flash helemaal afgeschaft wordt.

Mee eens maar Shockwave is geen flash.

http://en.wikipedia.org/wiki/Adobe_Shockwave

Uit het artikel:
De 'Full' versie installeert naast Shockwave Player 11.6.8.638 ook Flash versie 10.2.159.1, die op 15 april 2011 verscheen. Deze versie bevat verschillende beveiligingslekken die aanvallers kunnen misbruiken. Het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Shockwave gebruikt een eigen Flash-versie, en geen versie die al geïnstalleerd is.

Naast de problemen van Shockwave zelf is Flash dus weldegelijk een probleem.

19-12-2012, 10:38 door SirDice

Door AA_CS: Naast de problemen van Shockwave zelf is Flash dus weldegelijk een probleem.

Het probleem is meer dat Shockwave een oude en lekke versie van Flash heeft ingebouwd. Neemt inderdaad niet weg dat Flash een probleem is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Beveiligingslekken teisteren Shockwave Player

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren