| | 2012/06/26 | | | 風險等級: | 高度威脅 | | | 摘 要: | Adobe Flash Player 存在繞過安全性限制的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Adobe Flash Player 11.2.202.235(含)之前版本(Windows, Macintosh, Linux),Adobe Flash Player 11.1.115.8(含)之前版本(Android 4.x),Adobe Flash Player 11.1.115.9(含)之前版本(Android 2.x或3.x),Adobe AIR 3.2.0.2070(含)之前版本(Windows, Macintosh, and Android),中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 | | | 影響系統 : | Adobe Flash Player 11.2.202.235(含)之前版本(Windows, Macintosh, Linux) Adobe Flash Player 11.1.115.8(含)之前版本(Android 4.x) Adobe Flash Player 11.1.115.9(含)之前版本(Android 2.x或3.x) Adobe AIR 3.2.0.2070(含)之前版本(Windows, Macintosh, and Android) | | | 解決辦法: | 手動下載安裝: Adobe Flash Player 11.3.300.257(含)之後的版本(Windows, Macintosh) Adobe Flash Player 11.2.202.236(含)之後的版本(Linux) Adobe Flash Player 11.1.115.9(含)之後的版本(Android 4.x) Adobe Flash Player 11.1.111.10(含)之後的版本(Android 3.x或更早) Adobe AIR 3.3.0.3610(含)之後的版本(Windows, Macintosh, and Android) | | | 細節描述: | Adobe 近日發布Adobe Flash Player/AIR 存在繞過安全性限制的弱點,該弱點起因於 (1)解析ActionScript 的錯誤、整數溢位(integer overflow) 的錯誤及解析某些標籤時,NPSWF32.dll 所存在的錯誤都可能造成記憶體毀損(corrupt memory) 。 (2)未預期的錯誤可能造成堆疊緩衝區溢位(stack-based buffer overflow) 。 (3)“SoundMixer.computeSpectrum()” 方法所存在的錯誤,可以利用來繞過同源策略。 (4)關於“null dereference” 產生未預期的錯誤,可能允許執行程式碼。 (5)安裝元件未預期的錯誤,可能允許植入或執行任意程式碼。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 | | | 參考資訊: | Adobe
Secunia |
|