Sårbarheter i Adobes Flash Player var i mange år en foretrukket angrepsvektor blant IT-kriminelle, men etter en betydelig opprydding og innføring av stort sett fungerende oppdateringsmekanismer, har det vært relativt liten risiko ved å bruke Flash i nettleseren.
Men Flash-komponenten tilbys av Adobe ikke bare som en nettleserplugin, men også også som en del av andre produkter. Ett av disse er Adobe Shockwave Player, en annen men ikke like kjent plugin fra Adobe. Likevel skal denne være installert på mer enn 450 millioner pc-er, ifølge Adobe.
Derfor er det ikke så rent lite oppsiktsvekkende når det nå blir hevdet at Adobe ikke har fjernet noen kjente Flash-sårbarheter fra Flash-komponenten til Shockwave Player siden januar 2013. Det er Will Dormann, en IT-sikkerhetsspesialist som skriver veiledninger om trusler for CERT-divisjonen til Carnegie Mellon University som påpeker dette, ifølge Krebs on Security.
Selv om det ikke har vært mange massive angrep mot Flash de siste årene, betyr ikke dette at det ikke har vært sårbarheter. Men Adobe har i stor grad fått fjernet disse før de har blitt utnyttet, gjennom omtrent 20 sikkerhetsoppdateringer siden begynnelsen av 2013. Hver av disse fjerner én eller flere sårbarheter. I Shockwave Player er trolig alle disse sårbarhetene fortsatt tilstede.
Dette er ille nok, men ifølge Dormann kan det være enklere for angripere å utnytte Flash-sårbarheter via Shockwave enn det er å angripe dem direkte i Flash. Årsaken skal være at Shockwave har flere moduler som ikke tar i bruk mekanismer i Windows som kan bidra til å forhindre angrep.
Ifølge Krebs on Security-bloggen bekrefter en talskvinne for Adobe at informasjonen fra CERT er korrekt. Hun lover at den neste versjonen av Shockwave Player vil inkludere en oppdatert versjon av Flash Player.
Det er få pc-brukere som egentlig har behov for å ha Shockwave Player installert på maskinen. Rådet må derfor være at man avinstallerer hele programvaren, i alle fall dersom man ikke er helt sikker på at man jevnlig må åpne Shockwave-basert innhold.
Shockwave Player kan avinstalleres på flere ulike måter, avhengig av operativsystem. En eget avinstalleringsverktøy finnes på denne siden.
Les også:
- [29.04.2014] Fjerner nulldagssårbarhet fra Flash
