Adobe Shockwave Player远程代码执行和拒绝服务漏洞

漏洞起因
边界条件错误
 
影响系统
Adobe Shockwave Player 11.5.1 .601
Adobe Shockwave Player 11.5 600
Adobe Shockwave Player 11.5 596
Adobe Shockwave Player 11.5 .601
Adobe Shockwave Player 10.2 023
Adobe Shockwave Player 10
 
不受影响系统
Adobe Shockwave Player 11.5.2 .602
 
危害
远程攻击者可以利用漏洞对应用程序进行拒绝服务或任意代码执行攻击。
 
攻击所需条件
攻击者必须访问Adobe Shockwave Player。
 
漏洞信息
Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的外挂软件。
Adobe Shockwave Player 11.5.1.601及之前版本存在多个安全漏洞,这些漏洞允许攻击者在受影响系统上执行恶意代码:
-存在一个非法索引问题可导致代码执行(CVE-2009-3463)。
-存在一个非法指针问题可导致代码执行(CVE-2009-3464, CVE-2009-3465)。
-存在一个非法字符串长度问题可导致代码执行(CVE-2009-3466)。
-存在一个边界条件问题可导致拒绝服务攻击(CVE-2009-3244)。
 
测试方法
 
厂商解决方案
Adobe建议用户安装Shockwave Player 11.5.2.602:
http://get.adobe.com/shockwave/
 
漏洞提供者
Nicolas Joly of VUPEN Security
  

发表评论?

0 条评论。

发表评论