Shockwave über uralte Flash-Lücken angreifbar
Die mit dem Shockwave-Plugin verteilte Version von Adobes Flash Player enthält Sicherheitslücken, die in der Hauptversion von Flash schon seit fast eineinhalb Jahren geschlossen sind.
- Fabian A. Scherschel
Adobes Shockwave Player enthält eine eigene Version des Flash Players mit einer Reihe von Sicherheitslücken, die dazu missbraucht werden könnten, Rechner zu kapern. Sowohl Windows als auch Mac OS X sind betroffen. Der aktuellen Shockwave-Version fehlen fast zwanzig Sicherheitsupdates, die Adobe seit Januar 2013 für Flash herausgegeben hat. Das berichtet der auf Computersicherheit spezialisierte Journalist Brian Krebs, der sich auf einen Mitarbeiter des CERTs der Carnegie-Mellon-Universität beruft.
Das Shockwave-Player-Plugin wird nur noch auf sehr wenigen Webseiten zwingend benötigt. Bei Adobe können Nutzer prüfen, ob sie die Software installiert haben. Erscheint dort eine Animation, ist der Rechner verwundbar. Sind Sie sich nicht hundertprozentig sicher, ob sie Shockwave wirklich brauchen, sollte Sie die Software mit Hinblick auf die katastrophale Update-Lage bei dem Plugin besser deinstallieren.
Zusätzlich zu den fehlenden Updates kommt erschwerend noch hinzu, dass Shockwave einige Sicherheitsmechanismen wie SafeSEH nicht verwendet, die im eigenständigen Flash Player eingeschaltet sind. Das führt dazu, dass Flash-Sicherheitslücken in der Shockwave-Version unter Umständen leichter auszunutzen sind als im eigenständigen Flash-Plugin. Adobe hat das Problem mittlerweile bestätigt und mitgeteilt, die Firma wolle mit der nächsten Shockwave-Version auch das eingebaute Flash aktualisieren. (fab)
