Shockwave-lus kan ikke formidle virus

En diskusjon på Bugtraq ser ut til å konkludere med at en feil i Shockwave Flash, som er installert på 96 prosent av alle Internett-PC-er, ikke kan brukes til å spre virus.

Bugtraq er et redigert forum for diskusjoner om IT-sikkerhet. Du finner tråden i diskusjonen om Macromedia-produktet Shockwave Flash - en gratis multimediaspiller som er installert som tillegg ("plug in") på 96 prosent av alle PC-er med Internett-aksess - ved å gå inn i "archive" og søke etter "Shockwave Flash".

Diskusjonen startet med et innlegg 29. desember 2000 fra Neal Krawetz, en ingeniør som forklarte at han hadde brukt noen måneder på å undersøke en "buffer overflow" tilstand i Shockwave Flash (SWF). Krawetz sa han hadde reprodusert tilstanden på ulike operativsystemer - Windows, Mac, Solaris og Linux - og med nettleserne Netscape og Internet Explorer. Tilstanden utløses når tillegget prøver å spille av en feilkonfigurert SWF-fil fra et nettsted, og PC-en krasjer. Krawetz antok at det ville være mulig å skrive en SWF-fil som også formidlet og kjørte ondsinnet kode til PC-en.

Krawetz tok det forbeholdet at han ikke hadde undersøkt kildekoden til Shockwave Flash - selv om den er fritt tilgjengelig. Men han hadde henvendt seg flere ganger til Macromedia uten å få svar, og så ingen annen utvei enn å ty til Bugtraq.

Bugtraq-meldingen fikk de ansvarlige i Macromedia til å reagere momentant, og resultatet ble en samtale som Krawetz omtaler som svært givende.

Macromedias produktansvarlige Peter Santangeli bekrefter tilstanden med "buffer overflow", men skriver at etter omfattende testing, er han kommet fram til at feilen ikke kan utnyttes til å spre ondsinnet kode. Det verste som kan skje, er at en feilaktig SWF-fil krasjer klienten som prøver å laste den ned.

Santangeli legger til at Macromedia vil opprette en egen e-postadresse for rapporter om problemer knyttet til sikkerhets- og pålitelighetsproblemer i Flash.

Til toppen