Alert! Adobe Shockwave Player: Ohne Updates offen wie ein Scheunentor

Adobe hat das Update 11.5.7.609 für den Shockwave Player veröffentlicht, das 18 Sicherheitslücken schließen soll. 17 der Lücken stuft Adobe als kritisch ein, da präparierte Webseiten dadurch Code in ein System schleusen und starten können. Ursache der Probleme sind Buffer und Integer Overflows sowie Speicherfehler in diversen Funktionen zur Verarbeitung von Shockwave-Dateien.

Der Shockwave-Player bietet einen erweiterten Funktionsumfang als der Flash-Player. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt und steht wie der Flash-Player als Browser-Plug-in zur Verfügung. Adobes Namensgebung (das Firefox-Plug-in für den Flash-Player heißt unglücklicherweise "Shockwave Flash") führt allgemein zur Verwirrung bei Anwendern. In der Mehrzahl haben Anwender jedoch nur den Flash-Player installiert und sind somit von der Lücke nicht betroffen. Andersherum ist der Flash-Player aber immer im Lieferumfang des Shockwave-Player enthalten. Ob Shockwave installiert ist, kann man online testen: Test Adobe Shockwave Player.

Darüber hinaus stellt Adobe Sicherheits-Fixes für ColdFusion (8.0, 8.0.1, 9.0 auf allen unterstützten Betriebssystemen) bereit, die zwei Cross-Site-Scripting-Lücken und ein Datenleck beseitigen sollen.

Siehe dazu auch:

• Security update available for Shockwave Player
• Security update: Hotfixes available for ColdFusion
• Adobe patcht kritische Lücken im Shockwave Player
• Adobe schließt kritische Lücken in Shockwave
  

(dab)