Security Lab

Множественные уязвимости в Adobe Flash Player

Дата публикации:11.08.2010
Дата изменения:23.08.2010
Всего просмотров:3819
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:6
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2010-0209
CVE-2010-2188
CVE-2010-2213
CVE-2010-2214
CVE-2010-2215
CVE-2010-2216
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Adobe Flash Player 10.x
Adobe AIR 2.x
Adobe Flash CS3
Adobe Flash CS4
Adobe Flash Professional CS5
Adobe Flex 3.x
Adobe Flex 4.x
Уязвимые версии:
Adobe Flash Player 10.1.53.64 и более ранние версии
Adobe AIR 2.0.2.12610 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в ActionScript Virtual Machine 1 (AVM1) при обработке команды "ActionPush". Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки в методе "connect", доступном через ActionScript Native объект номер 2200. Удаленный пользователь может вызвать метод несколько раз с различными строками, что приведет к повреждению памяти и позволит злоумышленнику выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

6. Ошибка click-jacking может позволить злоумышленнику заставить пользователя произвести некоторые действия.

URL производителя: www.adobe.com

Решение: Установите последнюю версию с сайта производителя.

Ссылки: APSB10-16: Security update available for Adobe Flash Player
ZDI-10-149: Adobe Flash Player LocalConnection Memory Corruption Remote Code Execution Vulnerability

http://www.kb.cert.org/vuls/id/660993
Журнал изменений: a:2:{s:4:"TEXT";s:43:"12.08.2010
Добавлено уязвимость #6 ";s:4:"TYPE";s:4:"html";}