Adobe Flash Player biztonsági hibái


2008. október 16. 22:00

CH azonosító

CH-1660

Felfedezés dátuma

2008.10.16.

Súlyosság

Közepes

Érintett rendszerek

Adobe
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flex 3.x
Adobe Flash Player 9.x

Összefoglaló

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

Leírás

Az Adobe Flash Player több biztonsági problémáját is jelentették, melyeket a támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére bizonyos adatok megváltoztatására, cross-site scripting támadás indítására, vagy bizalmas adatok megszerzésére.

  1. Egy hiba a cross-domain biztonsági fájlok érvényesítésekor, kiaknázható egyes biztonsági korlátozások megkerülésére.

    Részletekért tekintse meg az alábbi bejelentés 4. pontját:
    SA28161

  2. Az ActionScript végrehajtási hibája kihasználható annak megállapítására, hogy egy távoli host adott portja nyitott vagy zárt állapotú.

    Részletekért tekintse meg az alábbi bejelentés 8. pontját:
    SA28161

  3. A problémát az okozza, hogy a “FileReference.browse()” és “FileReference.download() eljárásokat felhasználói jóváhaggyás nélkül is meg lehet hívni, így a felhasználókat rá lehet venni fájlok le -vagy feltöltésére.
  4. A HTTP válaszok fejléceinek kezelésében lévő hibát kihasználva cross-site scripting támadások indíthatók.
  5. Egy meghatározatlan hiba kihasználása megkönnyíti a DNS rebind támadások végrehajtását, valamint lehetővé teszi az “azonos eredet” előírás megszegését.
  6. Egy meghatározatlan ActionScript értelemezésekor föllépő hiba kihasználása tetszőleges HTML kód befecskendezését teszi lehetővé.
  7. A házirend fájlok értelemezésekor föllépő hibát kihasználva megkerülhető egy non-root domain korlátozás.
  8. A Mozilla böngészők “jar:” protokoll kezelési hibáját kihasználva bizalmas információk szerezhetők meg.
  9. A windowsos Flash Player ActiveX vezérlő egy hibáját kihasználva bizalmas információk szerezhetők meg.
  10. Az SWF fájlok elemzésekor föllépő több bemenet érvényesítési hibát kihasználva bizalmas információk szerezhetők meg vagy tetszőleges kód futtatható.

A sebezhetőségeket a 9.0.124.0. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2008-4823 - NVD CVE-2008-4823
CVE-2008-4822 - NVD CVE-2008-4822
CVE-2008-4819 - NVD CVE-2008-4819
CVE-2008-4820 - NVD CVE-2008-4820
CVE-2008-4821 - NVD CVE-2008-4821
CVE-2008-4818 - NVD CVE-2008-4818
CVE-2008-4401 - NVD CVE-2008-4401
CVE-2007-6243 - NVD CVE-2007-6243
CVE-2007-4324 - NVD CVE-2007-4324
SECUNIA 28161
SECUNIA 32270
Gyártói referencia: www.adobe.com
CVE-2008-4824 - NVD CVE-2008-4824

Legfrissebb sérülékenységek
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
Tovább a sérülékenységekhez »