Ein Sicherheitsforscher hat einen Demo-Exploit für eine bis dahin nicht bekannte Sicherheitslücke in der aktuellen Version des Adobe Shockwave Player veröffentlicht. Adobe stuft die Lücke als kritisch ein.

Im Adobe Shockwave Player, dem großen Bruder des Flash Player , ist eine Sicherheitslücke entdeckt worden, die ausgenutzt werden kann, um eingeschleusten Code auszuführen. Ein Demo-Exploit ist öffentlich verfügbar, ebenso Details zur entdeckten Schwachstelle. Betroffen sind neben der aktuellen Shockwave-Version 11.5.8.612 auch ältere Ausgaben des Multimedia-Plugin für Web-Browser.
Adobe hat die Sicherheitsmeldung APSA10-04 herausgegeben, in der es die Sicherheitslücke für die Windows- und die Mac-Versionen des Shockwave Player bestätigt. Adobe stuft die Lücke als kritisch ein, gibt jedoch an, es seien bislang keine realen Angriffe bekannt, die diese Schwachstelle ausnutzen würden. Einen Termin für die Bereitstellung eines Sicherheits-Updates hat Adobe bislang noch nicht genannt.
Die Sicherheitslücke kann mit Hilfe speziell präparierter Filme oder Animationen im Format von Shockwave Director ausgenutzt werden. Die Schwachstelle beruht auf einer fehlerhaften Verarbeitung bestimmter, vier Bytes großer Datenblöcke in solchen Dateien.
Die meisten Internet-Nutzer haben lediglich den Flash Player installiert, nicht jedoch den Shockwave Player. Ob Sie den Shockwave Player installiert haben, können Sie auf einer Testseite von Adobe überprüfen. Bis zum Erscheinen einer korrigierten Version sollten Sie den Shockwave Player möglichst deaktivieren oder deinstallieren.

Adobe hatte zuletzt im August eine neue Shockwave-Version bereit gestellt, um 20 Sicherheitslücken zu beseitigen.