Adobe Flash Player többszörös sebezhetőség


2009. február 24. 23:00

CH azonosító

CH-1984

Felfedezés dátuma

2009.02.24.

Súlyosság

Magas

Érintett rendszerek

AIR
Adobe
Flash CS3
Flash CS4
Flash Player
Flex

Érintett verziók

Adobe Flash CS4
Adobe Flash CS3
Adobe AIR 1.5
Adobe Flex 3
Adobe Flash Player 9.x, 10.x

Összefoglaló

Több sérülékenységet azonosítottak az Adobe Flash Playerben, amelyet kihasználva támadók, érzékeny információkhoz férhetnek hozzá, kiemelt jogosultságokat szerezhetnek, bizonyos adatokat manipulálhatnak, szolgáltatás megtagadást idézhetnek elő vagy feltörhetik az érintett rendszert.

Leírás

Több sérülékenységet azonosítottak az Adobe Flash Playerben, amelyet kihasználva a támadók, érzékeny információkhoz férhetnek hozzá, kiemelt jogosultságokat szerezhetnek, bizonyos adatokat manipulálhatnak, szolgáltatás megtagadást idézhetnek elő vagy feltörhetik az érintett rendszert.

  1. A problémát, bizonyos objektumok létrehozásakor és törlésekor fellépő érvénytelen hivatkozások okozzák a Shockwave Flash fájlok feldolgozásakor. A sérülékenység sikeres kihasználása tetszőleges kód futtatását teheti lehetővé a támadó számára, rosszindulatú weboldalak meglátogatásakor.
  2. A sérülékenységet, egy nem meghatározott bevitel ellenőrzési hiba okozza, amely kihasználása szolgáltatás megtagadást vagy tetszőleges kód futtatását eredményezheti.
  3. A problémát egy meghatározatlan, Settings Managerhez köthető hiba okozza, amelynek kihasználása clickjacking támadás lefolytatását teszi lehetővé.
  4. A sérülékenységet, az egérmutató megjelenítéséhez köthető meghatározatlan hiba okozza, amely sikeres clickjacking támadást eredményezhet.
  5. A sérülékenységet, a Linuxos Flash Player binárisában információ szivárgási hibája okozza. Ezt kihasználva helyi felhasználók emelt szintű jogosultságokat szerezhetnek.

Az Adobe Flash Player 10.0.22.87 és 9.0.159.0 előtti verziói érintettek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: labs.idefense.com
SECUNIA 34012
Egyéb referencia: www.vupen.com
Gyártói referencia: www.adobe.com
CVE-2009-0519 - NVD CVE-2009-0519
CVE-2009-0520 - NVD CVE-2009-0520
CVE-2009-0521 - NVD CVE-2009-0521
CVE-2009-0522 - NVD CVE-2009-0522
CVE-2009-0114 - NVD CVE-2009-0114

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége
CVE-2025-3248 – Langflow Missing Authentication sérülékenysége
CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége
CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége
CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége
CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége
CVE-2025-24132 – Apple AirPlay sebezhetősége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
Tovább a sérülékenységekhez »