Adobe Flash Player többszörös sérülékenység


2009. július 22. 22:00

CH azonosító

CH-2359

Felfedezés dátuma

2009.07.22.

Súlyosság

Magas

Érintett rendszerek

Adobe
Flash Player

Érintett verziók

Adobe Flash Player 9 - 9.0.159.0, 10 - 10.0.22.87

Összefoglaló

Az Adobe Flash Player több sérülékenységét jelentették, amiket kihasználva támadók megkerülhetnek egyes biztonsági korlátozásokat, bizalmas információkhoz juthatnak, vagy föltörhetik a felhasználó rendszerét.

Leírás

Az Adobe Flash Player több sérülékenységét jelentették, amiket kihasználva támadók megkerülhetnek egyes biztonsági korlátozásokat, bizalmas információkhoz juthatnak, vagy föltörhetik a felhasználó rendszerét.

  1. Egy meghatározatlan hibát kihasználva megváltoztatható a memória tartalma és tetszőleges kód futtatható különlegesen kialakított SWF tartalom segítségével.
  2. A vezérlő az ATL egy sebezhető verzióján alapszik, amit kihasználva fölfedhető a memória tartalma, megkerülhetők egyes biztonsági funkciók, pl. kill bit, valamint megváltoztatható a memória tartalma és tetszőleges kód futtatható Internet Explorer használata esetén.

    Bővebb információ:
    SA35967

  3. Egy meghatározatlan hibát kihasználva emelt szintű jogosultság szerezhető.
  4. Egy Shockwave Flash fájlok vizsgálatakor jelentkező, felszabadítás utáni használatból eredő hibát kihasználva törölt objektumokra hivatkozással megváltoztatható a memória tartalma.
  5. Egy meghatározatlan hiba NULL mutató sérülékenységhez vezethet.
  6. Egy meghatározatlan hiba verem túlcsorduláshoz vezethet.
  7. Egy click-jacking (egér kattintás eltérítése) sebezhetőséget kihasználva elérhető, hogy egy felhasználó a tudta nélkül egy linkre vagy egy párbeszéd ablak gombjára kattintson.
  8. Egy URL vizsgálatkor jelentkező hibát kihasználva halom túlcsordulás okozható.
  9. Az AVM2 abcFile elemzőben, az “instance_info” struktúra “intrf_count” értékének vizsgálatakor jelentkező egész túlcsordulás hibáját kihasználva megváltoztatható a memória tartalma és tetszőlegs kód futtatható.
  10. A helyi sandbox (zárt környezet) egy hibáját kihasználva bizalmas információkhoz lehet hozzájutni egy SWF merevlemezre mentésekor.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

US-CERT 259425
Gyártói referencia: www.adobe.com
SECUNIA 35948
CVE-2009-0901 - NVD CVE-2009-0901
CVE-2009-1862 - NVD CVE-2009-1862
CVE-2009-1863 - NVD CVE-2009-1863
CVE-2009-1864 - NVD CVE-2009-1864
CVE-2009-1865 - NVD CVE-2009-1865
CVE-2009-1866 - NVD CVE-2009-1866
CVE-2009-1867 - NVD CVE-2009-1867
CVE-2009-1868 - NVD CVE-2009-1868
CVE-2009-1869 - NVD CVE-2009-1869
CVE-2009-1870 - NVD CVE-2009-1870
CVE-2009-2395 - NVD CVE-2009-2395
CVE-2009-2493 - NVD CVE-2009-2493

Legfrissebb sérülékenységek
CVE-2026-1603 – Ivanti Endpoint Manager (EPM) Authentication Bypass sérülékenység
CVE-2025-26399 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység
CVE-2021-22054 – Omnissa Workspace ONE Server-Side Request Forgery sérülékenység
CVE-2023-41974 – Apple iOS and iPadOS Use-After-Free sérülékenység
CVE-2021-30952 – Apple Multiple Products Integer Overflow or Wraparound sérülékenység
CVE-2023-43000 – Apple Multiple products Use-After-Free sérülékenység
CVE-2021-22681 – Rockwell Multiple Products Insufficient Protected Credentials sérülékenység
CVE-2017-7921 – Hikvision Multiple Products Improper Authentication sérülékenység
CVE-2026-27636 – FreeScout sérülékenysége
CVE-2026-28289 – FreeScout sérülékenysége
Tovább a sérülékenységekhez »