Adobe Shockwave Player Xtras安装未提示漏洞

受影响系统:

Adobe Shockwave Player <= 11.5.7 .609

描述:


BUGTRAQ  ID: 56972
CVE(CAN) ID: CVE-2012-6271

Adobe Shockwave Player是播放使用Macromedia和Adobe Director制作的网页内容的软件。

Shockwave Player可以作为IE的ActiveX控件和其他浏览器插件使用,可以“完全”和“精简”安装,“精简”安装时没有集成Xtras功能,在Shockwave视频试图使用Xtras时,会根据需要下载并安装Xtras,如果该Xtras已经经过Adobe或Macromedia签名,那么将会自动安装。由于Xtras的下载位置存储在Shockwave视频文件内可被攻击者控制,那么攻击者可诱使用户查看特制的Shockwave视频文件,在播放文件时利用此漏洞下载并安装在攻击者控制位置的有漏洞的Xtras版本,然后利用有漏洞版本的Xtras以当前用户权限执行任意代码。

<*来源:Will Dormann

链接:http://www.eeye.com/resources/security-center/research/zero-day-tracker/2012/20121217
http://www.kb.cert.org/vuls/id/519137
*>

建议:


临时解决方法:

* 限制访问Director文件;

* 禁用IE内的Shockwave Player ActiveX控件;

* 使用Microsoft Enhanced Mitigation Experience Toolkit

* 在Microsoft Windows中启用DEP

* 使用“完全”安装,而非“精简”安装Shockwave

厂商补丁:

Adobe
—–
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.adobe.com/support/security/

评论关闭。