Множественные уязвимости в Adobe Flash Player

Дата публикации:
19.12.2007
Дата изменения:
10.04.2008
Всего просмотров:
6150
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-4324
CVE-2007-4768
CVE-2007-5275
CVE-2007-5476
CVE-2007-6242
CVE-2007-6243
CVE-2007-6244
CVE-2007-6245
CVE-2007-6246
CVE-2007-6637
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Adobe Flash CS3
Adobe Flex 2.x
Macromedia Flash Player 7.x
Macromedia Flash 8.x
Macromedia Flash Player 8.x
Adobe Flash Player 9.x
Уязвимые версии:
Adobe Flash CS3
Adobe Flash Player 9.x
Adobe Flex 2.x
Macromedia Flash 8.x
Macromedia Flash Player 7.x
Macromedia Flash Player 8.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке регулярных выражений. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/307022.php #7

2. Уязвимость существует из-за неизвестной ошибки при обработке SWF файлов. Удаленный пользователь может с помощью специально сформированного SWF файла выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки в процессе преобразования имени хоста в IP адрес. Удаленный пользователь может произвести DNS Rebinding атаку с помощью элементов allow-access-from в cross-domain-policy XML документах.

4. Уязвимость существует из-за ошибки при применении файлов междоменной политики. Удаленный пользователь может обойти некоторые ограничения безопасности на сервера, размещающих файлы междоменной политики. 5. Уязвимость существует из-за недостаточной обработки некоторых параметров в протоколе "asfunction:". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Уязвимости не распространяется на Flash Player 7.

6. Уязвимость существует из-за недостаточной обработки входных данных при вызове функции "navigateToURL". Удаленный пользователь может выполнить произвольный код сценария в браузер жертвы в контексте безопасности уязвимого сайта. Уязвимость обнаружена в Flash Player ActiveX компоненте для Internet Explorer.

7. Уязвимость существует из-за неизвестной ошибки, которая позволяет изменить HTTP заголовки и произвести HTTP Request Splitting атаку.

8. Уязвимость существует из-за ошибок в реализации Socket и XMLSocket ActionScript классов. Злоумышленник может определить состояние порта на удаленной системе.

9. Уязвимость существует из-за ошибки при установке привилегий на доступ к памяти в Adobe Flash Player for Linux. Локальный пользователь может повысить свои привилегии на системе.

10. Уязвимость существует из-за неизвестной ошибки в Adobe Flash Player и Opera для Mac OS X. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/305716.php #3

Решение: Установите последнюю версию 9.0.115.0 с сайта производителя.

Flash Player 9.0.48.0 и более ранние для Windows, Mac, и Linux:
http://www.stage.adobe.com/go/getflash

Flash Player 9.0.48.0 и более ранние – сетевой дистрибутив:
http://www.stage.adobe.com/licensing/distribution

Flash CS3 Professional:
http://www.adobe.com/support/flash/downloads.html

Flex 2.0:
http://www.stage.adobe.com/support/flashplayer/downloads.html#fp9

или введите имя

CAPTCHA
20-12-2007 03:25:20
Ссылки хоть надо проверять иногда. Две верхних - Access deneid: "We're sorry, you are not allowed access to the service you requested. If you feel you should have access, please contact the appropriate authorities and give them your IP address: xxx.xxx.xxx.xxx Thank you for your patience."
0 |
20-12-2007 03:27:43
Нижняя то же. Вы указали ссылки требующие предварительной авторизации на сайте Adobe. Потому они и не работают.
0 |
20-12-2007 23:20:36
Эх.. секлаб,секлаб... не ожидпл такого от вас..
0 |