Adobe Flash Player biztonsági hibái


2008. október 16. 22:00

CH azonosító

CH-1660

Felfedezés dátuma

2008.10.16.

Súlyosság

Közepes

Érintett rendszerek

Adobe
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flex 3.x
Adobe Flash Player 9.x

Összefoglaló

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

Leírás

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

  1. Egy hiba a cross-domain biztonsági fájlok érvényesítésekor, kiaknázható egyes biztonsági korlátozások megkerülésére.

    Részletekért tekintse meg az alábbi bejelentés 4. pontját:
    SA28161

  2. Az ActionScript végrehajtási hibája kihasználható annak megállapítására, hogy egy távoli host adott portja nyitott vagy zárt állapotú.

    Részletekért tekintse meg az alábbi bejelentés 8. pontját:
    SA28161

  3. A problémát az okozza, hogy a “FileReference.browse()” és “FileReference.download() eljárásokat felhasználói jóváhaggyás nélkül is meg lehet hívni, így a felhasználókat rá lehet venni fájlok le -vagy feltöltésére.
  4. A HTTP válaszok fejléceinek kezelésében lévő hibát kihasználva cross-site scripting támadások indíthatók.
  5. Egy meghatározatlan hiba kihasználása megkönnyíti a DNS rebind támadások végrehajtását, valamint lehetővé teszi az “azonos eredet” előírás megszegését.
  6. Egy meghatározatlan ActionScript értelemezésekor föllépő hiba kihasználása tetszőleges HTML kód befecskendezését teszi lehetővé.
  7. A házirend fájlok értelemezésekor föllépő hibát kihasználva megkerülhető egy non-root domain korlátozás.
  8. A Mozilla böngészők “jar:” protokoll kezelési hibáját kihasználva bizalmas információk szerezhetők meg.
  9. A windowsos Flash Player ActiveX vezérlő egy hibáját kihasználva bizalmas információk szerezhetők meg.
  10. Az SWF fájlok elemzésekor föllépő több bemenet érvényesítési hibát kihasználva bizalmas információk szerezhetők meg vagy tetszőleges kód futtatható.

A sebezhetőségeket a 9.0.124.0. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2008-4823 - NVD CVE-2008-4823
CVE-2008-4822 - NVD CVE-2008-4822
CVE-2008-4819 - NVD CVE-2008-4819
CVE-2008-4820 - NVD CVE-2008-4820
CVE-2008-4821 - NVD CVE-2008-4821
CVE-2008-4818 - NVD CVE-2008-4818
CVE-2008-4401 - NVD CVE-2008-4401
CVE-2007-6243 - NVD CVE-2007-6243
CVE-2007-4324 - NVD CVE-2007-4324
SECUNIA 28161
SECUNIA 32270
Gyártói referencia: www.adobe.com
CVE-2008-4824 - NVD CVE-2008-4824

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »