Összefoglaló
Az Adobe AIR számos olyan sérülékenységét jelentették, melyeket a támadók
kihasználhatnak cross-site scripting támadásokra vagy a felhasználói
rendszerek feltörésére.
Leírás
Az Adobe AIR számos olyan sérülékenységét jelentették, melyeket a támadók
kihasználhatnak cross-site scripting támadásokra vagy a felhasználói
rendszerek feltörésére.
Megjegyzés: Az alábbi sérülékenységek érintik az Adobe AIR-t, és más Adobe termékeket is.
-
Az ActionScript Virtual Machine 2 (AVM2) “newfunction” utasítások kezelésekor jelentkező hibáját kihasználva egy objektum hivatkozás megszerzésére használt mutató helyét hibásan lehet kiszámítani, ami a felhasználó által meghatározott adatok futtatását teszi lehetővé a memóriában. A hiba sikeres kihasználásával tetszőleges kód futtatható.
Megjegyzés: A sebezhetőséget jelenleg aktívan kihasználják.
- Egy tömb indexelési hiba kihasználható tetszőleges kód futtatására.
-
Egy felszabadítás utáni használatból eredő hiba lép fel a láncolt listában
szereplő képek feldolgozásakor. Ez kihasználható tetszőleges kód lefuttatására. - Egy hiba kihasználásával halom túlcsordulás okozható, ami tetszőleges kód futtatását teheti lehetővé.
- Egy helytelen mutató használatból eredő hibát kihasználva megváltoztatható a memória tartalma és tetszőleges kód futtatható, ami tetszőleges kód futtatását teheti lehetővé.
-
Néhány érvénytelen mutatóval kapcsolatos hiba kihasználása tetszőleges kód
futtatását teszi lehetővé. -
Az URL-ek feldolgozási hibája kihasználható tetszőleges script lefuttatására
a Firefox és Chrome böngészőkben. -
Két egész túlcsordulási hiba kihasználható memória kezelési hiba okozására
és tetszőleges kód futtatására. -
Egy hiba lép fel a VMWare rendszereken történő futtatás esetén, ha a VMWare
Tools engedélyezett. Ez kihasználható memória kezelési hiba okozására és tetszőleges
kód lefuttatására. - Számos részletesen nem ismertetett hiba kihasználható memória kezelési hiba, halom memória puffer kezelési hiba, puffer túlcsordulás, rendszer összeomlás okozására, a rendelkezésre álló memória felhasználására és tetszőleges kód lefuttatására.
A sérülékenységeket az Adobe AIR 1.5.3.9130. és korábbi verzióiban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Race condition (Versenyhelyzet)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2010-2187 - NVD CVE-2010-2187
Gyártói referencia: www.adobe.com
SECUNIA 40144
SECUNIA 40026
CVE-2009-3793 - NVD CVE-2009-3793
CVE-2010-1297 - NVD CVE-2010-1297
CVE-2010-2160 - NVD CVE-2010-2160
CVE-2010-2161 - NVD CVE-2010-2161
CVE-2010-2162 - NVD CVE-2010-2162
CVE-2010-2163 - NVD CVE-2010-2163
CVE-2010-2164 - NVD CVE-2010-2164
CVE-2010-2165 - NVD CVE-2010-2165
CVE-2010-2166 - NVD CVE-2010-2166
CVE-2010-2167 - NVD CVE-2010-2167
CVE-2010-2169 - NVD CVE-2010-2169
CVE-2010-2170 - NVD CVE-2010-2170
CVE-2010-2171 - NVD CVE-2010-2171
CVE-2010-2173 - NVD CVE-2010-2173
CVE-2010-2174 - NVD CVE-2010-2174
CVE-2010-2175 - NVD CVE-2010-2175
CVE-2010-2176 - NVD CVE-2010-2176
CVE-2010-2177 - NVD CVE-2010-2177
CVE-2010-2178 - NVD CVE-2010-2178
CVE-2010-2179 - NVD CVE-2010-2179
CVE-2010-2180 - NVD CVE-2010-2180
CVE-2010-2181 - NVD CVE-2010-2181
CVE-2010-2183 - NVD CVE-2010-2183
CVE-2010-2182 - NVD CVE-2010-2182
CVE-2010-2184 - NVD CVE-2010-2184
CVE-2010-2186 - NVD CVE-2010-2186
CVE-2010-2185 - NVD CVE-2010-2185
CVE-2010-2188 - NVD CVE-2010-2188
CVE-2010-2189 - NVD CVE-2010-2189
