Érintett rendszerek
AdobeFlash CS4
Flash Player
Flex
Érintett verziók
Adobe Flash CS4
Adobe Flex 3.x
Adobe Flash Player 9.x
Összefoglaló
Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.
Leírás
Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.
- Egy hiba a cross-domain biztonsági fájlok érvényesítésekor, kiaknázható egyes biztonsági korlátozások megkerülésére.
Részletekért tekintse meg az alábbi bejelentés 4. pontját:
SA28161 - Az ActionScript végrehajtási hibája kihasználható annak megállapítására, hogy egy távoli host adott portja nyitott vagy zárt állapotú.
Részletekért tekintse meg az alábbi bejelentés 8. pontját:
SA28161 - A problémát az okozza, hogy a “FileReference.browse()” és “FileReference.download() eljárásokat felhasználói jóváhaggyás nélkül is meg lehet hívni, így a felhasználókat rá lehet venni fájlok le -vagy feltöltésére.
- A HTTP válaszok fejléceinek kezelésében lévő hibát kihasználva cross-site scripting támadások indíthatók.
- Egy meghatározatlan hiba kihasználása megkönnyíti a DNS rebind támadások végrehajtását, valamint lehetővé teszi az “azonos eredet” előírás megszegését.
- Egy meghatározatlan ActionScript értelemezésekor föllépő hiba kihasználása tetszőleges HTML kód befecskendezését teszi lehetővé.
- A házirend fájlok értelemezésekor föllépő hibát kihasználva megkerülhető egy non-root domain korlátozás.
- A Mozilla böngészők “jar:” protokoll kezelési hibáját kihasználva bizalmas információk szerezhetők meg.
- A windowsos Flash Player ActiveX vezérlő egy hibáját kihasználva bizalmas információk szerezhetők meg.
- Az SWF fájlok elemzésekor föllépő több bemenet érvényesítési hibát kihasználva bizalmas információk szerezhetők meg vagy tetszőleges kód futtatható.
A sebezhetőségeket a 9.0.124.0. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-4823 - NVD CVE-2008-4823
CVE-2008-4822 - NVD CVE-2008-4822
CVE-2008-4819 - NVD CVE-2008-4819
CVE-2008-4820 - NVD CVE-2008-4820
CVE-2008-4821 - NVD CVE-2008-4821
CVE-2008-4818 - NVD CVE-2008-4818
CVE-2008-4401 - NVD CVE-2008-4401
CVE-2007-6243 - NVD CVE-2007-6243
CVE-2007-4324 - NVD CVE-2007-4324
SECUNIA 28161
SECUNIA 32270
Gyártói referencia: www.adobe.com
CVE-2008-4824 - NVD CVE-2008-4824