受影响系统:
Adobe Shockwave Player 11.5
不受影响系统:
Adobe Shockwave Player 11.5.7.609
描述:
Adobe Shockwave Player是专门播放使用Director Shockwave Studio制作的网页的外挂软件。
Shockwave Player解析Director文件时错误的使用了16位的符号整型向32位的符号整型,导致整型过大,随后又导致一个整型溢出。成功利用该漏洞的攻击者可以远程控制受害者机器。
<*来源:VulnHunt (http://www.vulnhunt.com/)
链接:http://marc.info/?l=full-disclosure&m=127362888731674&w=2
http://www.adobe.com/support/security/bulletins/apsb10-12.html
http://secunia.com/advisories/38751/
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=869
*>
建议:
临时解决方法:
* 对Shockwave Player ActiveX控件设置kill bit,创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{233C1507-6A77-46A4-9443-F871F945D258}
创建名为Compatibility Flags的DWORD值并设置为16进制值400。
厂商补丁:
Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。