Tres graves vulnerabilidades presentes en Adobe Shockwave han hecho que el US-CERT haya puesto el grito en el cielo, puesto que dichas vulnerabilidades permiten la ejecución de código malicioso con algo tan simple como visitar una web que contenga un archivo Shockwave que haya sido configurado de forma adecuada.
Este hecho resulta realmente flagrante cuando leemos, en la fuente, que el US-CERT avisó a la gente de Adobe de estas vulnerabilidades en octubre de 2010, algo a lo que la compañía respondió diciendo que solucionarían el problema en la próxima versión de Shockwave, que llegará en febrero de 2013, ahí es nada.
Por desgracia la actitud de Adobe no es única dentro de la industria, ya que las empresas normalmente no se apresuran a solucionar este tipo de problemas mientras no se conozca de forma fehaciente que los mismos están, de una u otra forma, siendo aprovechados por atacantes. Es por ello que los descubridores de fallos de seguridad a veces los anuncian de forma pública, para presionar a que se corrijan lo antes posible. En este caso la US-CERT avisó a Adobe, pero no las hizo públicas hasta hace muy poco tiempo.
