Car-tech

Adobe promete reparar pronto la falla Shockwave de 2 años

Adobe planea cerrar en febrero un agujero peligroso en su aplicación Shockwave que hace que la aplicación se degrade cuando un usuario lanza contenido multimedia más antiguo, permitiendo a los piratas informáticos atacar vulnerabilidades ancestrales.

El equipo estadounidense de preparación para emergencias informáticas (CERT) emitió un aviso sobre la vulnerabilidad, que podría permitir a un atacante entregar malware y ejecutar código arbitrario, considerado como uno de los tipos de defectos más peligrosos.

US CERT notificó a Adobe del problema el 27 de octubre de 2010, pero un portavoz de Adobe dijo el miércoles que el problema se cerrará con la próxima gran actualización de Shockwave, programada para el 12 de febrero. "No conocemos ningún exploit activo o ataque en la naturaleza que use esta técnica en particular", dijo Wiebke Lips, gerente sénior de comunicaciones corporativas de Adobe. Adobe no consideró el problema como un alto riesgo para los usuarios.

Shockwave se usa para reproducir contenido creado en Macromedia y Adobe Director, que ofrece herramientas avanzadas para crear contenido interactivo, incluido Flash.

EE. UU. CERT citó la documentación de Adobe que dice que si un usuario encuentra contenido que no especifica usar la última versión Shockwave 11, se descarga un control ActiveX anterior que extrae componentes del reproductor anterior Shockwave 10. Shockwave usa un control ActiveX cuando se solicita contenido en Internet Explorer de Microsoft y está presente como un complemento en otros navegadores, según el CERT de EE. UU.

Errores de flash citados

El tiempo de ejecución de Shockwave 10 contiene vulnerabilidades y los "Xtras" de la aplicación , "que son componentes del contenido. La degradación de Shockwave a una versión anterior también abre la aplicación multimedia Flash de Adobe para ataque, dijo la agencia.

"Debido a este diseño, los atacantes pueden atacar vulnerabilidades en el tiempo de ejecución Shockwave 10, o cualquiera de los Xtras proporcionados por Shockwave 10, "US CERT escribió. "Por ejemplo, la versión heredada de Shockwave proporciona Flash 8.0.34.0, que se lanzó el 14 de noviembre de 2006 y contiene múltiples vulnerabilidades conocidas."

EE. UU. CERT ha publicado otros dos documentos que describen los problemas con Xtras y Flash, que Adobe dijo que estaba analizando. El primero se refiere a la degradación de Shockwave a una versión anterior de Flash, que afecta tanto a Windows como a la Mac de Apple. El segundo involucra el problema de Xtras maliciosos.

"No conocemos ningún exploit activo o ataques en la naturaleza usando estas técnicas tampoco", dijo Lips.

Envíe sus sugerencias y comentarios a [email protected] Sígueme en Twitter: @jeremy_kirk