Abonner

Sprer ett år gamle Flash-sårbarheter

– Adobe Shockwave Player bør avinstalleres!

Alle som ikke har sterkt behov for å ha Adobe Shockwave Player installert på pc-en, bør avinstallere det fordi den inneholder mengder med gamle og kjente sårbarheter.
Alle som ikke har sterkt behov for å ha Adobe Shockwave Player installert på pc-en, bør avinstallere det fordi den inneholder mengder med gamle og kjente sårbarheter. Bilde: PantherMedia / Sergey Nivens
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
23. mai 2014 - 10:42

Sårbarheter i Adobes Flash Player var i mange år en foretrukket angrepsvektor blant IT-kriminelle, men etter en betydelig opprydding og innføring av stort sett fungerende oppdateringsmekanismer, har det vært relativt liten risiko ved å bruke Flash i nettleseren.

Men Flash-komponenten tilbys av Adobe ikke bare som en nettleserplugin, men også også som en del av andre produkter. Ett av disse er Adobe Shockwave Player, en annen men ikke like kjent plugin fra Adobe. Likevel skal denne være installert på mer enn 450 millioner pc-er, ifølge Adobe.

Derfor er det ikke så rent lite oppsiktsvekkende når det nå blir hevdet at Adobe ikke har fjernet noen kjente Flash-sårbarheter fra Flash-komponenten til Shockwave Player siden januar 2013. Det er Will Dormann, en IT-sikkerhetsspesialist som skriver veiledninger om trusler for CERT-divisjonen til Carnegie Mellon University som påpeker dette, ifølge Krebs on Security.

Selv om det ikke har vært mange massive angrep mot Flash de siste årene, betyr ikke dette at det ikke har vært sårbarheter. Men Adobe har i stor grad fått fjernet disse før de har blitt utnyttet, gjennom omtrent 20 sikkerhetsoppdateringer siden begynnelsen av 2013. Hver av disse fjerner én eller flere sårbarheter. I Shockwave Player er trolig alle disse sårbarhetene fortsatt tilstede.

Dette er ille nok, men ifølge Dormann kan det være enklere for angripere å utnytte Flash-sårbarheter via Shockwave enn det er å angripe dem direkte i Flash. Årsaken skal være at Shockwave har flere moduler som ikke tar i bruk mekanismer i Windows som kan bidra til å forhindre angrep.

Ifølge Krebs on Security-bloggen bekrefter en talskvinne for Adobe at informasjonen fra CERT er korrekt. Hun lover at den neste versjonen av Shockwave Player vil inkludere en oppdatert versjon av Flash Player.

Det er få pc-brukere som egentlig har behov for å ha Shockwave Player installert på maskinen. Rådet må derfor være at man avinstallerer hele programvaren, i alle fall dersom man ikke er helt sikker på at man jevnlig må åpne Shockwave-basert innhold.

Shockwave Player kan avinstalleres på flere ulike måter, avhengig av operativsystem. En eget avinstalleringsverktøy finnes på denne siden.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Data Respons Solutions AS
Software Architects
Statens vegvesen
Infrastrukturspesialist IT nettverk
Tolletaten
Juridisk og internasjonal stab
Universitetet i Oslo (UiO)
Nettverksspesialist
Kripos
KI plattformingeniør
COWI AS
ICT Advisor / Senior IKT-rådgiver
IMDi
Løsningsarkitekt
Sporveien
Driftsingeniør Nettverk og Tele
En tjeneste fra