Adobe termékek AVM2 “newfunction” utasítás kezelés sérülékenysége

CH azonosító

CH-3185

Felfedezés dátuma

2010.06.04.

Súlyosság

Kritikus

Érintett rendszerek

Acrobat
Adobe
Flash Player
Reader

Érintett verziók

Adobe Reader 9.x
Adobe Flash Player 9.x, 10.x
Adobe Acrobat 9.x

Összefoglaló

Az Adobe Flash Player sebezhetőségét jelentették, amit kihasználva támadók föltörhetik a felhasználó rendszerét.

Leírás

Az Adobe Flash Player sebezhetőségét jelentették, amit kihasználva támadók föltörhetik a felhasználó rendszerét.

A sebezhetőséget a Flash Player egy hibája okozza. Az Adobe Reader és Acrobat programokhoz mellékelt verzió (authplay.dll) is sérülékeny.

Az ActionScript Virtual Machine 2 (AVM2) “newfunction” utasítások kezelésekor jelentkező hibáját kihasználva egy objektum hivatkozás megszerzésére használt mutató helyét hibásan lehet kiszámítani, ami a felhasználó által meghatározott adatok futtatását teszi lehetővé a memóriában. A hiba sikeres kihasználásával tetszőleges kód futtatható.

Megjegyzés: A sebezhetőséget jelenleg aktívan kihasználják.

A sérülékenységet az Adobe Flash 10.0.45.2. és azelőtti 10.0.x és 9.0.x Windows, Macintosh, Linux, és Solaris verzióiban, valamint az Adobe Reader és Acrobat 9.3.2. és azelőtti 9.x Windows, Macintosh, és UNIX verzióiban jelentették.

Megoldás

Törölje, nevezze át, vagy más módon korlátozza a hozzáférést az authplay.dll-hez, hogy megakadályozza a PDF állományokban az SWF tartalom futását.
A legújabb 10.1 Release Candidate (RC) Flash verzió nem érintett.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »