Adobe Flash Player többszörös sebezhetőség


2009. február 24. 23:00

CH azonosító

CH-1984

Felfedezés dátuma

2009.02.24.

Súlyosság

Magas

Érintett rendszerek

AIR
Adobe
Flash CS3
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flash CS3
Adobe AIR 1.5
Adobe Flex 3
Adobe Flash Player 9.x, 10.x

Összefoglaló

Több sérülékenységet azonosítottak az Adobe Flash Playerben, amelyet kihasználva támadók, érzékeny információkhoz férhetnek hozzá, kiemelt jogosultságokat szerezhetnek, bizonyos adatokat manipulálhatnak, szolgáltatás megtagadást idézhetnek elő vagy feltörhetik az érintett rendszert.

Leírás

Több sérülékenységet azonosítottak az Adobe Flash Playerben, amelyet kihasználva a támadók, érzékeny információkhoz férhetnek hozzá, kiemelt jogosultságokat szerezhetnek, bizonyos adatokat manipulálhatnak, szolgáltatás megtagadást idézhetnek elő vagy feltörhetik az érintett rendszert.

  1. A problémát, bizonyos objektumok létrehozásakor és törlésekor fellépő érvénytelen hivatkozások okozzák a Shockwave Flash fájlok feldolgozásakor. A sérülékenység sikeres kihasználása tetszőleges kód futtatását teheti lehetővé a támadó számára, rosszindulatú weboldalak meglátogatásakor.
  2. A sérülékenységet, egy nem meghatározott bevitel ellenőrzési hiba okozza, amely kihasználása szolgáltatás megtagadást vagy tetszőleges kód futtatását eredményezheti.
  3. A problémát egy meghatározatlan, Settings Managerhez köthető hiba okozza, amelynek kihasználása clickjacking támadás lefolytatását teszi lehetővé.
  4. A sérülékenységet, az egérmutató megjelenítéséhez köthető meghatározatlan hiba okozza, amely sikeres clickjacking támadást eredményezhet.
  5. A sérülékenységet, a Linuxos Flash Player binárisában információ szivárgási hibája okozza. Ezt kihasználva helyi felhasználók emelt szintű jogosultságokat szerezhetnek.

Az Adobe Flash Player 10.0.22.87 és 9.0.159.0 előtti verziói érintettek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: labs.idefense.com
SECUNIA 34012
Egyéb referencia: www.vupen.com
Gyártói referencia: www.adobe.com
CVE-2009-0519 - NVD CVE-2009-0519
CVE-2009-0520 - NVD CVE-2009-0520
CVE-2009-0521 - NVD CVE-2009-0521
CVE-2009-0522 - NVD CVE-2009-0522
CVE-2009-0114 - NVD CVE-2009-0114

Legfrissebb sérülékenységek
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »