Adobe Flash Player biztonsági hibái


2008. október 16. 22:00

CH azonosító

CH-1660

Felfedezés dátuma

2008.10.16.

Súlyosság

Közepes

Érintett rendszerek

Adobe
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flex 3.x
Adobe Flash Player 9.x

Összefoglaló

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

Leírás

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

  1. Egy hiba a cross-domain biztonsági fájlok érvényesítésekor, kiaknázható egyes biztonsági korlátozások megkerülésére.

    Részletekért tekintse meg az alábbi bejelentés 4. pontját:
    SA28161

  2. Az ActionScript végrehajtási hibája kihasználható annak megállapítására, hogy egy távoli host adott portja nyitott vagy zárt állapotú.

    Részletekért tekintse meg az alábbi bejelentés 8. pontját:
    SA28161

  3. A problémát az okozza, hogy a „FileReference.browse()” és „FileReference.download() eljárásokat felhasználói jóváhaggyás nélkül is meg lehet hívni, így a felhasználókat rá lehet venni fájlok le -vagy feltöltésére.
  4. A HTTP válaszok fejléceinek kezelésében lévő hibát kihasználva cross-site scripting támadások indíthatók.
  5. Egy meghatározatlan hiba kihasználása megkönnyíti a DNS rebind támadások végrehajtását, valamint lehetővé teszi az „azonos eredet” előírás megszegését.
  6. Egy meghatározatlan ActionScript értelemezésekor föllépő hiba kihasználása tetszőleges HTML kód befecskendezését teszi lehetővé.
  7. A házirend fájlok értelemezésekor föllépő hibát kihasználva megkerülhető egy non-root domain korlátozás.
  8. A Mozilla böngészők „jar:” protokoll kezelési hibáját kihasználva bizalmas információk szerezhetők meg.
  9. A windowsos Flash Player ActiveX vezérlő egy hibáját kihasználva bizalmas információk szerezhetők meg.
  10. Az SWF fájlok elemzésekor föllépő több bemenet érvényesítési hibát kihasználva bizalmas információk szerezhetők meg vagy tetszőleges kód futtatható.

A sebezhetőségeket a 9.0.124.0. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2008-4823 - NVD CVE-2008-4823
CVE-2008-4822 - NVD CVE-2008-4822
CVE-2008-4819 - NVD CVE-2008-4819
CVE-2008-4820 - NVD CVE-2008-4820
CVE-2008-4821 - NVD CVE-2008-4821
CVE-2008-4818 - NVD CVE-2008-4818
CVE-2008-4401 - NVD CVE-2008-4401
CVE-2007-6243 - NVD CVE-2007-6243
CVE-2007-4324 - NVD CVE-2007-4324
SECUNIA 28161
SECUNIA 32270
Gyártói referencia: www.adobe.com
CVE-2008-4824 - NVD CVE-2008-4824

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24993 – Microsoft Windows NTFS Heap-Based Buffer Overflow sebezhetősége
CVE-2025-24991 – Microsoft Windows NTFS Out-Of-Bounds Read sebezhetősége
CVE-2025-24985 – Microsoft Windows Fast FAT File System Driver Integer Overflow sebezhetősége
CVE-2025-24984 – Microsoft Windows NTFS Information Disclosure sebezhetősége
CVE-2025-24983 – Microsoft Windows Win32k Use-After-Free sebezhetősége
CVE-2025-26633 – Microsoft Windows Management Console (MMC) Improper Neutralization sebezhetősége
CVE-2025-27363 – FreeType srülékenysége
CVE-2025-24201 – Apple WebKit sérülékenysége
CVE-2024-13161 – Ivanti Endpoint Manager (EPM) Absolute Path Traversal sebezhetősége
Tovább a sérülékenységekhez »