PDA

View Full Version : [NEWS] Adobe Flash Player Invalid Object Reference Remote CodeExecution Vulnerability

c.m.g
25-02-2009, 10:08
24 febbraio 2009

Security Focus (http://www.securityfocus.com) riporta un bollettino di sicurezza (Bugtraq ID 33880 (http://www.securityfocus.com/bid/33880/info)) in cui si spiega che è stata trovata una vulnerabilità in Adobe Flash Player che esporrebbe il computer di un utente ignaro ad attacchi di tipo remote code-execution.

Un attacker può sfruttare questa falla per eseguire codice arbitrario malevolo da remoto con i privilegi che in quel momento l'utente ha avviato il programma fallato. Il fallimento dellla tecnica su descritta porterebbe ad un crash dell'applicazione o una condizione di negazione del servizio al legittimno user.

La falla è stata confermata nelle versioni antecedenti Flash Player 10.0.12.36.

Più nello specifico:
Adobe Flex 3.0
Adobe Flash Player Plugin 9.0.31 .0
Adobe Flash Player Plugin 9.0.28 .0
Adobe Flash Player Plugin 9.0.20 .0
Adobe Flash Player Plugin 9.0.16
Adobe Flash Player Plugin 8.0
Adobe Flash Player Plugin 7.0.63
Adobe Flash Player Plugin 7.0.25
Adobe Flash Player Plugin 9.0.45.0
Adobe Flash Player Plugin 9.0.18d60
Adobe Flash Player Plugin 9.0.124.0
Adobe Flash Player Plugin 9.0.124.0
Adobe Flash Player Plugin 9.0.112.0
Adobe Flash Player Plugin 10.0.12.10
Adobe Flash Player 10.0.15 .3
Adobe Flash Player 10.0.12 .36
Adobe Flash Player 10.0.12 .35
Adobe Flash Player 9.0.152 .0
Adobe Flash Player 9.0.151 .0
Adobe Flash Player 9.0.124 .0
Adobe Flash Player 9.0.48.0
Adobe Flash Player 9.0.47.0
Adobe Flash Player 9.0.45.0
Adobe Flash Player 9.0.31.0
Adobe Flash Player 9.0.28.0
Adobe Flash Player 9.0.115.0
Adobe Flash Player 9
Adobe Flash Player 8.0.35.0
Adobe Flash Player 8.0.34.0
Adobe Flash Player 7.0.70.0
Adobe Flash Player 7.0.69.0
Adobe Flash Player 7
Adobe Flash Player 10
Adobe Flash CS4 Professional 0
Adobe Flash CS3 Professional 0
Adobe AIR 1.5

Soluzione:
Il produttore ha rilasciato un bollettino e un aggiornamento per ogni suo prodotto contenente il Flash Player. Per maggiori info, seguire questa pagina (http://www.securityfocus.com/bid/33880/solution).

Versioni non vulnerabili:
Adobe Flash Player 10.0.22 .87
Adobe AIR 1.5.1

Classe falla:
Failure to Handle Exceptional Conditions

Falla scoperta da:
Javier Vicente Vallejo


Advisories d'origine:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773
http://www.securityfocus.com/archive/1/501195
http://www.adobe.com/support/security/bulletins/apsb09-01.html




Fonte: SecurityFocus (http://www.securityfocus.com/bid/33880/info)
c.m.g
25-02-2009, 12:14
Adobe Flash Player Multiple Vulnerabilities (http://secunia.com/advisories/34012/) su secunia
Den76
25-02-2009, 14:36
Ma queste vulnerabilità sono state sanate con la nuova release?
Perchè vedo che il bollettino di Secunia è datato 25 febbraio.
c.m.g
25-02-2009, 14:39
si che è stata sanata, in genere secunia arriva sempre dopo di security focus ;)
Den76
25-02-2009, 15:19
Ah ok. Buono a sapersi. Grazie :)
FulValBot
25-02-2009, 19:59
ho l'impressione che sia stata l'unica cosa fixata -.- gli hangs dei browser sono ancora lì -.-

anzi sembra che vada perfino peggio de prima -.-
c.m.g
26-02-2009, 08:17
altre falle correlate e corrette su security focus:

Adobe Flash Player Unspecified Information Disclosure Vulnerability (http://www.securityfocus.com/bid/33889/info)

Adobe Flash Player Unspecified Remote Denial of Service Vulnerability (http://www.securityfocus.com/bid/33890/info)
c.m.g
26-02-2009, 09:13
Adobe ripara Flash Player 10 (http://www.webnews.it/news/leggi/10226/adobe-ripara-flash-player-10/) su webnews