Множественные уязвимости в Adobe Flash Player

Дата публикации:
11.08.2010
Дата изменения:
23.08.2010
Всего просмотров:
3618
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
6
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
CVE ID:
CVE-2010-0209
CVE-2010-2188
CVE-2010-2213
CVE-2010-2214
CVE-2010-2215
CVE-2010-2216
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Adobe Flash Player 10.x
Adobe AIR 2.x
Adobe Flash CS3
Adobe Flash CS4
Adobe Flash Professional CS5
Adobe Flex 3.x
Adobe Flex 4.x
Уязвимые версии:
Adobe Flash Player 10.1.53.64 и более ранние версии
Adobe AIR 2.0.2.12610 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в ActionScript Virtual Machine 1 (AVM1) при обработке команды "ActionPush". Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки в методе "connect", доступном через ActionScript Native объект номер 2200. Удаленный пользователь может вызвать метод несколько раз с различными строками, что приведет к повреждению памяти и позволит злоумышленнику выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

6. Ошибка click-jacking может позволить злоумышленнику заставить пользователя произвести некоторые действия.

URL производителя: www.adobe.com

Решение: Установите последнюю версию с сайта производителя.

Ссылки: APSB10-16: Security update available for Adobe Flash Player
ZDI-10-149: Adobe Flash Player LocalConnection Memory Corruption Remote Code Execution Vulnerability
http://www.kb.cert.org/vuls/id/660993
Журнал изменений: 12.08.2010
Добавлено уязвимость #6

или введите имя

CAPTCHA