« previous next »
Pages: [1]   Go Down

Author Topic: Adobe deve corrigir falha de dois anos do Shockwave só em 2013  (Read 2213 times)

0 Members and 1 Guest are viewing this topic.

Offline jefferson sant

  • Starting Graphoman
  • *
  • Posts: 6674
  • volunteer
Adobe deve corrigir falha de dois anos do Shockwave só em 2013
« on: December 20, 2012, 11:51:10 PM »
Falhas poderiam permitir a execução de código remoto, uma das vulnerabilidades consideradas mais graves

A Adobe planeja para fevereiro de 2013 uma correção que fechará um grande buraco em seu aplicativo de mídia Shockwave. A falha faz com que o aplicativo a ser desclassificado quando um usuário lança mais conteúdo multimídia, permitindo que hackers para direcionar anos de idade vulnerabilidades.
 
A Equipe de Resposta às Emergências de Computador dos EUA (U.S. Computer Emergency Response Team - CERT) liberou um comunicado sobre a vulnerabilidade, que pode permitir ao cracker entregar um malware e executar um código arbitrário remoto -  um dos tipos de vulnerabilidade mais graves.
 
A CERT notificou a Adobe sobre a falha em 27 de outubro de 2010, mas um porta-voz da empresa disse na quarta-feira que o problema será resolvido apenas na próxima atualização importante do Shockwave, programada para 12 de fevereiro do ano que vem.
 
"Nós não temos conhecimento sobre qualquer aplicativo malicioso ou ataque que atualmente utilizam essa técniac em particular", disse o gerente sênior de comunicação corporativa da Adobe, Wiebke Lips. A empresa também não considera que a questão represente um risco grande aos usuários.
 
O Shockwave é utilizado como player para reprodução de conteúdo criado no Macromedia e no Adobe Director, que oferece ferramentas avançadas para criação de conteúdo interativo, incluindo Flash.
 
A CERT citou um documento da Adobe que diz que, se um usuário encontra um conteúdo que não especifica a utilização da última versão do aplicativo, o Shockwave 11, um controle ActiveX antigo é baixado e puxa componentes antigos do Shockwave 10.
 
O player usa um controle ActiveX quando o conteúdo for solicitado dentro do Internet Explorer e está presente como um plugin em outros navegadores, de acordo com o CERT.

O runtime do Shockwave 10 contém vulnerabilidades, bem como da aplicação "Xtras", que são componentes do conteúdo. O downgrade do Shockwave para uma versão mais antiga também abre uma brecha no Flash que permite o ataque, disse a agência.
Logged
Pages: [1]   Go Up
« previous next »