Adobe patcht kritische Lücken im Shockwave Player
Bei den Lücken handelt es sich unter anderem um Fehler bei der Verarbeitung von Pointern sowie um Speicherverletzungen beim Einlesen präparierter Shockwave-Dateien. Angreifer können darüber Code einschleusen und starten.
- Daniel Bachfeld
Das Sicherheits-Update 11.5.2.602 von Adobe für den Shockwave Player schließt fünf kritische Sicherheitslücken, von denen sich vier zum Einschleusen und Ausführen von Code ausnutzen lassen. Dazu genügt der Besuch einer manipulierten Webseite. Die Lücken wurden allesamt vom französischen Sicherheitsdienstleister VUPEN Security entdeckt. Dabei handelt es sich unter anderem um Fehler bei der Verarbeitung von Pointern sowie um Speicherverletzungen beim Einlesen präparierter Shockwave-Dateien. Das Update steht für Windows und Mac zum Download zur Verfügung.
Der Shockwave Player ist quasi der große Bruder des Flash Player und bietet einen erweiterten Funktionsumfang. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt und steht wie der Flash Player als Browser-Plug-in zur Verfügung. Adobes Namensgebung (das Firefox-Plug-in für den Flash Player heißt unglücklicherweise "Shockwave Flash") führt allgemein zur Verwirrung bei Anwendern. In der Mehrzahl dürften Anwender jedoch nur Adobe Flash Player installiert haben und somit von der Lücke nicht betroffen sein. Andersherum ist der Flash Player aber immer im Lieferumfang des Shockwave Player enthalten.
Siehe dazu auch:
- Adobe Shockwave Player Multiple Code Execution Vulnerabilities, Bericht von VUPEN
- Security updates available for Shockwave Player, Bericht von Adobe
- Adobe Shockwave Player im heise Software-Verzeichnis
(dab)
