最近发现，Adobe Shockwave捆绑了一个Flash Player版本，该版本已有15个月的历史了，并且在重要的安全更新中处于落后地位。

从kb.cert.org的漏洞说明数据库中：

Adobe Macromedia Shockwave Player是播放由Macromedia和Adobe Director开发的活动Web内容的软件。Shockwave Player可用作Internet Explorer的ActiveX控件，也可用作其他Web浏览器的插件。Shockwave也可在“ Full”和“ Slim”安装程序中使用。“ Slim”安装程序提供的Xtra较少，当Shockwave电影尝试使用它们时，可以按需安装。

Shockwave Player 12.1.1.151的“完整”安装程序提供了Flash版本11.5.502.146，该版本于2013年1月8日发布。此版本的Flash包含多个可利用的漏洞。请注意，Shockwave使用文件Flash Asset.x32提供的自己的Flash运行时，而不是使用可能在系统范围内安装的Flash运行时。

它说，通过说服用户查看特制的Shockwave内容(例如网页或HTML电子邮件附件)，攻击者可以“利用用户的特权”执行任意代码。

然后它说，它目前尚未意识到该问题的实际解决方案。

Brian Krebs在KrebsOnSecurity上写道： “作者长期建议安装Adobe Shockwave Player的计算机用户使用该产品，主要是因为很少有站点实际需要浏览器插件，并且因为它是另一个需要不断更新的插件。” 博客。“但是本周，我得知该软件引入了一个更为严重的问题，令我非常震惊：事实证明，该软件捆绑了Adobe Flash的一个组件，该组件比安全更新落后了15个月以上，几乎可以用于任何后门程序运行它的计算机。”