Shockwave被发现捆绑了过时的危险版本的Flash

商业2020-07-29 14:03:43
导读 最近发现,Adobe Shockwave捆绑了一个Flash Player版本,该版本已有15个月的历史了,并

最近发现,Adobe Shockwave捆绑了一个Flash Player版本,该版本已有15个月的历史了,并且在重要的安全更新中处于落后地位。

从kb.cert.org的漏洞说明数据库中:

Adobe Macromedia Shockwave Player是播放由Macromedia和Adobe Director开发的活动Web内容的软件。Shockwave Player可用作Internet Explorer的ActiveX控件,也可用作其他Web浏览器的插件。Shockwave也可在“ Full”和“ Slim”安装程序中使用。“ Slim”安装程序提供的Xtra较少,当Shockwave电影尝试使用它们时,可以按需安装。

Shockwave Player 12.1.1.151的“完整”安装程序提供了Flash版本11.5.502.146,该版本于2013年1月8日发布。此版本的Flash包含多个可利用的漏洞。请注意,Shockwave使用文件Flash Asset.x32提供的自己的Flash运行时,而不是使用可能在系统范围内安装的Flash运行时。

它说,通过说服用户查看特制的Shockwave内容(例如网页或HTML电子邮件附件),攻击者可以“利用用户的特权”执行任意代码。

然后它说,它目前尚未意识到该问题的实际解决方案。

Brian Krebs在KrebsOnSecurity上写道: “作者长期建议安装Adobe Shockwave Player的计算机用户使用该产品,主要是因为很少有站点实际需要浏览器插件,并且因为它是另一个需要不断更新的插件。” 博客。“但是本周,我得知该软件引入了一个更为严重的问题,令我非常震惊:事实证明,该软件捆绑了Adobe Flash的一个组件,该组件比安全更新落后了15个月以上,几乎可以用于任何后门程序运行它的计算机。”

免责声明:本文由用户上传,如有侵权请联系删除!