Adobe Shockwave Playe存在多个安全漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Adobe Shockwave Player 11.5.7 .609
Adobe Shockwave Player 11.5.6 .606
Adobe Shockwave Player 11.5.2 .606
Adobe Shockwave Player 11.5.2 .602
Adobe Shockwave Player 11.5.1 .601
Adobe Shockwave Player 11.5 .601
Adobe Shockwave Player 11.5 .600
Adobe Shockwave Player 11.5 .596
Adobe Shockwave Player 11.5.8.612
Adobe Shockwave Player 11.5.0.595
Adobe Shockwave Player 11.0.0.456
Adobe Shockwave Player 11
 
不受影响系统
Adobe Shockwave Player 11.5.9.615
 
危害
远程攻击者可以利用漏洞以应用程序安全上下文执行任意代码。
 
攻击所需条件
攻击者必须构建恶意文件,诱使用户访问触发此漏洞。
 
漏洞信息
Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的外挂软件。
Adobe Shockwave Player存在多个安全漏洞,允许攻击者进行拒绝服务或者任意代码代码执行攻击。
Windows和Macintosh系统下的Adobe Shockwave Player 11.5.8.612及早期版本存在安全漏洞,这些漏洞包括CVE-2010-3653(Security Advisory APSA10-04中描述),允许成功利用漏洞的攻击者在受影响系统上运行恶意代码。
此更新解决了内存破坏漏洞可导致任意代码执行(CVE-2010-3653),注意此漏洞已经在网络上被积极利用。
此更新解决了可导致任意代码执行的dirapi.dll中的内存破坏漏洞(CVE-2010-2581)。
此更新解决了可导致代码执行的基于堆的缓冲区溢出漏洞(CVE-2010-2582)。
此更新解决了可导致代码执行的dirapi.dll中的基于栈的缓冲区溢出漏洞(CVE-2010-3655)。
此更新解决了可导致任意代码执行的dirapi.dll中的内存破坏漏洞(CVE-2010-4084)。
此更新解决了可导致任意代码执行的dirapi.dll中的内存破坏漏洞(CVE-2010-4085)。
此更新解决了可导致任意代码执行的dirapi.dll中的内存破坏漏洞(CVE-2010-4086)。
此更新解决了可导致任意代码执行的IML32.dll 中的内存破坏漏洞(CVE-2010-4087)。
此更新解决了可导致任意代码执行的dirapi.dll中的内存破坏漏洞(CVE-2010-4088)。
此更新解决了可导致任意代码执行的IML32.dll 中的内存破坏漏洞(CVE-2010-4089)。
此更新解决了可导致任意代码执行的内存破坏漏洞(CVE-2010-4090)。
 
测试方法
 
厂商解决方案
Adobe Shockwave Player 11.5.9.615已经修复此漏洞,建议用户下载使用:
http://www.adobe.com/
 
漏洞提供者
TippingPoint’s Zero Day Initiative (CVE-2010-3655)
Junaid Bohio, Vulnerability Research Team, TELUS Security Labs (CVE-2010-4084)
Honggang Ren of Fortinet’s FortiGuard Labs (CVE-2010-4085)
Carsten Eiram of Secunia Research (CVE-2010-2581, CVE-2010-2582)
Rodrigo Rubira Branco of Check Point IPS Research Team (CVE-2010-4086, CVE-2010-4087, CVE-2010-4088, CVE-2010-4089)
TippingPoint’s Zero Day Initiative (CVE-2010-4090)

发表评论?

0 条评论。

发表评论