US-CERT waarschuwt voor een ernstig lek in de Adobe plug-in Shockwave. Het component Xtras van Shockwave wordt geïnstalleerd zonder gebruikers te waarschuwen. De downloadlocatie van oudere Xtras wordt opgeslagen in het Shockwave-filmpje zelf, waardoor hackers in staat zijn bij gebruikers malafide software te installeren zonder dat ze dit doorhebben.

Adobe patcht in februari

“Door een gebruiker naar speciaal gebouwde Shockwave-content te laten kijken (bijvoorbeeld een webpagina, HTML e-mailbericht of bijlage) kan een aanvaller code uitvoeren met de toegangsrechten van de gebruiker", stelt US-CERT in een waarschuwingsbericht.

US-CERT stelde Adobe in 2010 op de hoogte van deze kwetsbaarheid. Een woordvoerder van het bedrijf laat Kaspersky's Threatpost weten dat het bedrijf de exploit niet in het wild heeft aangetroffen en van plan is aan te pakken in de volgende release van Shockwave die gepland staat voor februari.

Hackers moeten om het gat uit te buiten zo'n Xtra-module pakken die de gebruiker nog niet heeft geïnstalleerd. Mensen die een volledige installatie van Shockwave hebben, zijn daarom minder vatbaar voor het lek omdat er een hoop Xtra's worden meegeïnstalleerd met het pakket.

'Vermijd Shockwave'

Beveiligingsonderzoeker Brian Krebs stelt dat Shockwave het programma is dat hij het meest ontraadt om te installeren. “Net als Java is het krachtige software die vol met bugs zit. Veel mensen hebben het programma geïnstalleerd maar hebben het niet echt nodig voor dagelijks gebruik", aldus Krebs.

“Je systeem beveiligen betekent niet alleen dat je zaken stevig beschermt, maar ook dat je onnodige programma's verwijdert en Shockwave staat vrijwel bovenaan in mijn lijst wat dit betreft", schrijft Krebs.