Adobe Flash Player biztonsági hibái


2008. október 16. 22:00

CH azonosító

CH-1660

Felfedezés dátuma

2008.10.16.

Súlyosság

Közepes

Érintett rendszerek

Adobe
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flex 3.x
Adobe Flash Player 9.x

Összefoglaló

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

Leírás

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

  1. Egy hiba a cross-domain biztonsági fájlok érvényesítésekor, kiaknázható egyes biztonsági korlátozások megkerülésére.

    Részletekért tekintse meg az alábbi bejelentés 4. pontját:
    SA28161

  2. Az ActionScript végrehajtási hibája kihasználható annak megállapítására, hogy egy távoli host adott portja nyitott vagy zárt állapotú.

    Részletekért tekintse meg az alábbi bejelentés 8. pontját:
    SA28161

  3. A problémát az okozza, hogy a “FileReference.browse()” és “FileReference.download() eljárásokat felhasználói jóváhaggyás nélkül is meg lehet hívni, így a felhasználókat rá lehet venni fájlok le -vagy feltöltésére.
  4. A HTTP válaszok fejléceinek kezelésében lévő hibát kihasználva cross-site scripting támadások indíthatók.
  5. Egy meghatározatlan hiba kihasználása megkönnyíti a DNS rebind támadások végrehajtását, valamint lehetővé teszi az “azonos eredet” előírás megszegését.
  6. Egy meghatározatlan ActionScript értelemezésekor föllépő hiba kihasználása tetszőleges HTML kód befecskendezését teszi lehetővé.
  7. A házirend fájlok értelemezésekor föllépő hibát kihasználva megkerülhető egy non-root domain korlátozás.
  8. A Mozilla böngészők “jar:” protokoll kezelési hibáját kihasználva bizalmas információk szerezhetők meg.
  9. A windowsos Flash Player ActiveX vezérlő egy hibáját kihasználva bizalmas információk szerezhetők meg.
  10. Az SWF fájlok elemzésekor föllépő több bemenet érvényesítési hibát kihasználva bizalmas információk szerezhetők meg vagy tetszőleges kód futtatható.

A sebezhetőségeket a 9.0.124.0. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2008-4823 - NVD CVE-2008-4823
CVE-2008-4822 - NVD CVE-2008-4822
CVE-2008-4819 - NVD CVE-2008-4819
CVE-2008-4820 - NVD CVE-2008-4820
CVE-2008-4821 - NVD CVE-2008-4821
CVE-2008-4818 - NVD CVE-2008-4818
CVE-2008-4401 - NVD CVE-2008-4401
CVE-2007-6243 - NVD CVE-2007-6243
CVE-2007-4324 - NVD CVE-2007-4324
SECUNIA 28161
SECUNIA 32270
Gyártói referencia: www.adobe.com
CVE-2008-4824 - NVD CVE-2008-4824

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
CVE-2025-42599 – Active! mail sérülékenysége
CVE-2025-31200 – Apple Memory Corruption sérülékenysége
CVE-2025-31201 – Apple Pointer Authentication sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
Tovább a sérülékenységekhez »