Adobe Flash Player többszörös sebezhetőség


2009. február 24. 23:00

CH azonosító

CH-1984

Felfedezés dátuma

2009.02.24.

Súlyosság

Magas

Érintett rendszerek

AIR
Adobe
Flash CS3
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flash CS3
Adobe AIR 1.5
Adobe Flex 3
Adobe Flash Player 9.x, 10.x

Összefoglaló

Több sérülékenységet azonosítottak az Adobe Flash Playerben, amelyet kihasználva támadók, érzékeny információkhoz férhetnek hozzá, kiemelt jogosultságokat szerezhetnek, bizonyos adatokat manipulálhatnak, szolgáltatás megtagadást idézhetnek elő vagy feltörhetik az érintett rendszert.

Leírás

Több sérülékenységet azonosítottak az Adobe Flash Playerben, amelyet kihasználva a támadók, érzékeny információkhoz férhetnek hozzá, kiemelt jogosultságokat szerezhetnek, bizonyos adatokat manipulálhatnak, szolgáltatás megtagadást idézhetnek elő vagy feltörhetik az érintett rendszert.

  1. A problémát, bizonyos objektumok létrehozásakor és törlésekor fellépő érvénytelen hivatkozások okozzák a Shockwave Flash fájlok feldolgozásakor. A sérülékenység sikeres kihasználása tetszőleges kód futtatását teheti lehetővé a támadó számára, rosszindulatú weboldalak meglátogatásakor.
  2. A sérülékenységet, egy nem meghatározott bevitel ellenőrzési hiba okozza, amely kihasználása szolgáltatás megtagadást vagy tetszőleges kód futtatását eredményezheti.
  3. A problémát egy meghatározatlan, Settings Managerhez köthető hiba okozza, amelynek kihasználása clickjacking támadás lefolytatását teszi lehetővé.
  4. A sérülékenységet, az egérmutató megjelenítéséhez köthető meghatározatlan hiba okozza, amely sikeres clickjacking támadást eredményezhet.
  5. A sérülékenységet, a Linuxos Flash Player binárisában információ szivárgási hibája okozza. Ezt kihasználva helyi felhasználók emelt szintű jogosultságokat szerezhetnek.

Az Adobe Flash Player 10.0.22.87 és 9.0.159.0 előtti verziói érintettek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: labs.idefense.com
SECUNIA 34012
Egyéb referencia: www.vupen.com
Gyártói referencia: www.adobe.com
CVE-2009-0519 - NVD CVE-2009-0519
CVE-2009-0520 - NVD CVE-2009-0520
CVE-2009-0521 - NVD CVE-2009-0521
CVE-2009-0522 - NVD CVE-2009-0522
CVE-2009-0114 - NVD CVE-2009-0114

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »