Shockwave Player bundelt een component van Adobe Flash dat sinds december 2012 niet meer is aangepast na de ontdekking van de vele gaten in Flash. Het is nu zelfs zo dat een kwaadaardige aanval veel makkelijker kan worden uitgevoerd via het Flash-component in Shockwave dan op Flash zelf. Dat zegt beveiligingsexpert Will Dormann die verbonden is aan de CERT van Carnegie Mellon University.

Deze vreemde en gevaarlijkse situatie wordt nu beschreven door KrebsOnSecurity, het blog van beveiligingsexpert Brain Krebs. Hij noemt Flash zelfs de backdoor in Shockwave waarmee aanvallers elke computer kunnen binnenkomen, een Windows-PC of Mac.

Zeker 20 beveiligingsupdates gemist

Probleem is dat Shockwave zijn eigen versie van de Flash runtime draait en die is zelfs in de laatste versie van Shockwave niet geupdate. Volgens Dormann mist de huidige versie van Shockwave elke beveiligingsupdate van Flash sinds januari 2013. Dat betekent volgens Krebs berekening dat er zo'n 20 verschillende beveiligingsupdates zijn gemist, waaronder oplossingen voor verschillende kritieke zero-days.

Adobe geeft het probleem toe en zegt dat de volgende versie van Shockwave Player een update zal bevatten van Flash Player. "We zijn onze processen in het updaten van beveiligings-issues aan het evalueren", zegt een woordvoerster van Adobe, "om de risico's in Shockwave Player af te dekken."

Dormann zegt dat hij zowel in 2010 als in 2012 al gewaarschuwd heeft voor deze brakke update-praktijk van Adobe.