Adobe dicht in 2010 ontdekt Shockwave-lek pas in 2013
Een kritiek lek in Adobe's Shockwave Player wordt pas in 2013 gedicht. Dit terwijl US-CERT Adobe al in 2010 op het lek wees.
US-CERT waarschuwt gebruikers van Adobe's Shockwave-plugin voor het beveiligingslek. De Shockwave Player blijkt het component Xtras te installeren, zonder de gebruikers hiervoor om toestemming te geven. Zodra gebruikers content af proberen te spelen die een Xtra gebruiken download en installeert Shockwave deze Xtra. Dit proces is echter niet goed beveiligd.
De downloadlink is opgeslagen in de Shockwave-content zelf. Hackers kunnen hierdoor de downloadlink aanpassen en Shockwave Player een verouderde Xtra met kwetsbaarheden te laten downloaden. De kwetsbaarheid kan worden uitgebuit zodra de verouderde Xtra is geïnstalleerd. Het beveiligingslek is dan ook niet zonder risico's. Door gebruikers te overtuigen malafide Shockwave-content af te spelen kunnen hackers toegang verkrijgen tot hun systeem.
Niet iedere gebruiker is even kwetsbaar voor de hack. Hackers kunnen alleen een Xtra installeren die nog niet op de computer van de gebruiker aanwezig is. Gebruikers die beschikken over een volledig up-to-date installatie lopen dan ook minder risico's, aangezien zij minder Xtra's missen.