2月份的Adobe计划在其冲击波应用程序中关闭危险漏洞,当用户推出旧多媒体内容时,将允许的应用程序降级,允许黑客瞄准历史悠久的漏洞。
美国计算机紧急准备团队(美国证书)发出咨询关于漏洞,这可能允许攻击者提供恶意软件并执行任意代码,被认为是最危险的缺陷之一。
U.S.Cerce在2010年10月27日通知了这个问题的Adobe,但是Adobe Spokesperson周三表示,该问题将在Shockwave的下一个重大升级,于2月12日。
“我们不知道使用这种特定技术的野外有任何积极的利用或攻击,”Adobe公司通信高级经理Wiebke Lips说。Adobe没有考虑对用户发出的高风险。
ShockWave用于播放在Macromedia和Adobe Director中创建的内容,它提供了用于创建交互式内容的高级工具,包括Flash。
U.S. Cert引用了Adobe文档,说明如果用户遇到未指定使用最新的ShockWave版本11的内容,则下载旧的ActiveX控件,从而提取旧的冲击波10播放器的组件。根据U.S.Cercer的说法,ShockWave在Microsoft Internet Explorer内请求内容时使用ActiveX控件,并根据其他浏览器中的插件。
ShockWave 10运行时包含漏洞以及应用程序的“Xtras”,它是内容的组件。该机构表示,对旧版本的冲击波对旧版本的降级也开辟了Adobe的闪光多媒体应用。
“由于这种设计,攻击者可以简单地在ShockWave 10运行时瞄准漏洞,或Shockwave 10提供的任何XTRAS,”U.S.Cert写道。“例如,ShockWave的旧版版本提供了Flash 8.0.34.0,该Flash 8.0.34.0于2006年11月14日发布,包含多个已知的漏洞。”
U.S.Cert发布了另外两份文件,描述了Xtras和Flash的问题,Adobe表示它正在分析。这第一的关注ShockWave对旧闪存版本的降级,影响Windows和Apple的Mac。这第二涉及恶意Xtras的问题。
“我们不知道使用这些技术的野外任何积极的利用或攻击,”嘴唇说。
向Jeremy_kirk@idg.com发送新闻提示和评论。在推特上关注我:@jeremy_kirk