Érintett rendszerek
AIRAdobe
Flash CS3
Flash CS4
Flash Player
Flash Professional CS5
Flex
Érintett verziók
Adobe AIR 2.x
Adobe Flash CS3
Adobe Flash CS4
Adobe Flash Professional CS5
Adobe Flash Player 10.x
Adobe Flex 3.x, 4.x
Összefoglaló
Az Adobe Flash Player több sérülékenységét is jelentették, amelyeket a támadók kihasználhatnak clickjacking támadásokra vagy a felhasználó sérülékeny rendszerének feltörésére.
Leírás
- Az ActionScript Virtual Machine 1 (AVM1) egy hibája, amikor az “ActionPush” parancsot kezeli, kihasználható memória kezelési hiba okozására.
- Ismeretlen hibák kihasználhatóak memória tartalmának megváltoztatására. Jelenleg nem áll rendelkezésre bővebb információ.
- Ismeretlen hibák kihasználhatóak memória tartalmának megváltoztatására. Jelenleg nem áll rendelkezésre bővebb információ.
- Az ActionScript (natív objektum szám 2200) “connect” eljárásának hibája kihasználható memória tartalmának módosítására, ha az eljárást több alkalommal, különböző string-ekkel hívják.
- Ismeretlen hibák kihasználhatóak memória tartalmának megváltoztatására. Jelenleg nem áll rendelkezésre bővebb információ.
- Egy clickjacking hiba kihasználható a felhasználó megtévesztésére önkéntelen műveletek végrehajtásával.
Az 1-5. sérülékenységek sikeres kiaknázása tetszőleges kód futtatását teszi lehetővé.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.adobe.com
US-CERT 660993
SECUNIA 40907
Egyéb referencia: www.zerodayinitiative.com
CVE-2010-0209 - NVD CVE-2010-0209
CVE-2010-2188 - NVD CVE-2010-2188
CVE-2010-2213 - NVD CVE-2010-2213
CVE-2010-2214 - NVD CVE-2010-2214
CVE-2010-2215 - NVD CVE-2010-2215