Häufig wurde bereits von dem Adobe Shockwave Player abgeraten, da nur wenige Seiten dieses Plugin benötigen und es ständig neue Updates erfordert. Nun kam aber heraus, dass die Installation dieser Software noch ein ganz anderes Problem birgt: Es enthält eine Adobe Flash-Komponente, der alle Sicherheitsupdates der letzten 15 Monate fehlen. Dies stellt praktisch eine Hintertür zu jedem Computer dar, auf dem die Software läuft.

Der Sicherheitsexperte Will Dormann schrieb in einem Artikel über die neuesten Sicherheitsupdates beim Adobe Flash Player, dass Shockwave eine eigene Version von Flash Runtime nutzt. Und dass die zuletzt veröffentlichte Version von Shockwave keine der neuesten Flash-Updates beinhaltet.

Er fand heraus, dass die aktuelle Shockwave-Version keines der Updates seit Januar 2013 enthält. Adobe selbst hat aber bereits rund 20 einzelne Sicherheitsupdates für Flash in der Zwischenzeit veröffentlicht, die unter anderem gefährliche Zero-Day-Sicherheitslücken beheben.

Dormann:

„Flash-Updates sind sehr regelmäßig, Shockwave-Updates allerdings nicht. Vom Design her ist es also ein großer Fehler, Shockwave mit eigenem Flash auszustatten.“

Adobe wurde bereits 2010 über dieses Problem informiert.

Dormann zufolge ist es sogar einfacher, Attacken gegen die in Shockwave eingebauten Flash-Komponenten zu starten als gegen das eigentliche Flash-Plugin. Es ist unkomplizierter, dort die Schwachstellen für sich zu nutzen. Der Grund: Shockwaves verschiedene Module vernetzen sich nicht mit Sicherheitsvorkehrungen, wie zum Beispiel SafeSEH von Windows.

Eine Sprecherin von Adobe bestätigte diese Informationen – die nächste Version des Shockwave Players soll demzufolge die aktuelle Version des Flash Players enthalten.
Es empfiehlt sich, Shockwave zu deinstallieren. Für alle, die den Shockwave Player aus irgendwelchen Gründen tatsächlich benötigen, ist die Installation von Microsofts Enhanced Mitigation Experience Toolkit (EMET 4.1 oder neuer) empfohlen. Dies könnte dabei helfen, die Schwachstelle zu beheben.

Artikel von theregister.co.uk, 23.05.2014: Shockwave shocker: Plugin includes un-patched version of Flash
Artikel von krebsonsecurity.com, 21.05.2014: Why You Should Ditch Adobe Shockwave