Usuń Shockwave Playera: wtyczka Adobe wciąż z lukami dawno załatanymi we Flash Playerze

Adobe nigdy nie było liderem w dziedzinie bezpieczeństwa. FlashPlayer jest ceniony przez twórców złośliwego oprogramowania jakoduża, atrakcyjna powierzchnia ataku, tym lepsza, że niemalwszechobecna na desktopach. Oczywiście Adobe wydaje regularniełatki, ale czy można oczekiwać od użytkowników, by z nichkorzystali, skoro nie korzysta z nich nawet samo Adobe? Jeślikorzystacie z Shockwave Playera, to już w tym momence polecamywtyczkę tę odinstalować.

W grudniu 2012 roku Will Dormann, badacz z Carnegie MellonUniversity, przyjrzał się ostatnim wersjom Shockwave Playera –wtyczki niezbędnej do odtwarzania animowanych filmów i gierstworzonych w technologii Shockwave za pomocą Adobe Directora. Wielutwórców animacji uważa środowisko to za znacznie lepsze odFlasha, za sprawą szybszego renderowania grafiki, sprzętowejakceleracji 3D i wbudowanej obsługi wielu protokołów sieciowych.Co więcej, jeśli jest to konieczne, w plikach Shockwave możnaosadzać treści przygotowane dla Flasha, ale nie odwrotnie. Podwzględem bezpieczeństwa Shockwave wygląda jednak dość marnie.Dormann ostrzegał,że Shockwave Player jest podatny na zdalne ataki, które we Flashudawno zostały już załatane.

Shockwave Player ignoruje bowiem standardową wtyczkę Flashzainstalowaną w systemie, odtwarzając osadzone w mediach Shockwaveflashowe treści za pomocą komponentu FlashAsset.x32, dostarczanegowraz z tym odtwarzaczem przez Adobe. Wystarczy więc ofierze wysłaćspreparowanego e-maila w formacie HTML z załącznikiem Flash, by mócwykorzystać luki Flasha jeszcze łatwiej, niż można to zrobić wstandardowej wtyczce Flash. Jest tak dlatego, że wiele modułówShockwave (w przeciwieństwie do Flash Playera) po prostu ignorujemechanizmy zabezpieczeń Windows, takie jak SAFESEH.

Od czasu opublikowania ostrzeżenia minęło kilkanaście miesięcy– i przez ten czas Adobe nic nie zrobiło. Wczoraj na swoim blogutematpodjął znany ekspert Brian Krebs. Okazuje się, że nawet wnajnowszej wersji ShockwarePlayera (12.1.1.151) zastosowany jest dziurawy jak sito komponentFlashAsset.x32. Nie zastosowano w nim żadnych łatek wydanych dlaFlash Playera od stycznia 2013 roku. Oznacza to ponad 20 różnychluk, z których kilka pozwala na zdalne uruchomienie wrogiego kodu.

W tej sytuacji Shockwave Player okazuje się najbardziejniebezpieczną wtyczką dla przeglądarek. Nawet zainstalowanieaktualnej wersji nie zapewnia bezpieczeństwa. Tymczasowymrozwiązaniem może być zainstalowanie w systemach z rodziny Windowszestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko(EMET), chroniącego przed exploitami używanymi do ataku flashowegokomponenta w Shockwave Playerze, ale nie jest to rozwiązanie dlakażdego, wielu użytkowników donosi, że EMET powoduje u nichrozmaite problemy z pracą zainstalowanych aplikacji.

Rzeczniczka Adobe przyznała, że Will Dormann ma rację iobiecała, że kolejna wersja Shockwave Playera będzie zawierałazaktualizowanego Flasha. Nie podała jednak terminu jejprzygotowania, stwierdzając jedynie, że firma analizuje swojeprocesy zarządzania bezpieczeństwem, by zmniejszyć ryzyko związaneze stosowaniem wtyczki Shockwave. Nie czekając więc naaktualizację, lepiej wtyczkę odinstalować od razu. Możecie tozrobić za pomocą narzędzia dostępnego tutaj.