據(jù)USCERT發(fā)出的一個警告，Adobe Shockwave播放器中一個不當(dāng)?shù)墓δ芸赡軡撛跁?dǎo)致攻擊者在瀏覽器插件中裝載易受攻擊的文件，從而使用戶暴露在路過式攻擊和其他問題之下。

USCERT表示，該威脅普遍存在于對Shockwave播放器進(jìn)行功能擴(kuò)展的Xtras文件包中。據(jù)周一發(fā)布的一個公告，該文件存儲在Shockwave本身，使攻擊者可以加載舊的、易受攻擊的Xtras文件。當(dāng)Shockwave播放一個影片時，Xtras可以被安裝并自動利用。

“如果Xtra是由Adobe或Macromedia公司簽署的，那么它無需用戶交互就會自動安裝，”USCERT警告道。根據(jù)公告，這個長期存在的問題在2010年引起了Adobe公司的關(guān)注。它影響在Mozilla Firefox和Internet Explorer瀏覽器上運(yùn)行“簡化版”Shockwave播放器的用戶。

該攻擊非常容易實(shí)施，盡管一直沒有報(bào)告稱它被網(wǎng)絡(luò)犯罪分子積極利用。攻擊者可以誘使用戶查看惡意Shockwave內(nèi)容，然后以用戶的權(quán)限執(zhí)行惡意代碼。

Adobe承認(rèn)該問題，并表示其工程團(tuán)隊(duì)計(jì)劃在2月發(fā)布一個更新來解決它。“Adobe正努力在下一個Adobe Shockwave播放器主流版本中解決這個問題，我們目前還沒有獲悉這種特殊技術(shù)被廣泛利用或進(jìn)行攻擊。

USCERT說，直到發(fā)布更新前都沒有切實(shí)可行的解決辦法。但事實(shí)上，個人和組織可以采取一些措施來減輕這種威脅，如通過限制處理不受信任的內(nèi)容。其他的方法還包括使用瀏覽器插件，如在Mozilla瀏覽器中運(yùn)行Shockwave播放器就可以安裝NoScript，或使用白名單只通過那些受信任的網(wǎng)站。企業(yè)還可以在IE中禁用Shockwave Player ActiveX控件，不過這可能會引起一些網(wǎng)頁中的問題。

Windows用戶可以通過啟用數(shù)據(jù)執(zhí)行保護(hù)（DEP）來進(jìn)一步加強(qiáng)保護(hù)，該功能可以限制代碼執(zhí)行，從而使網(wǎng)絡(luò)犯罪分子更難利用該漏洞。