[NEWS] Adobe Flash Player Invalid Object Reference Remote CodeExecution Vulnerability

c.m.g · 25-02-2009, 09:08

24 febbraio 2009

Security Focus riporta un bollettino di sicurezza (Bugtraq ID 33880) in cui si spiega che è stata trovata una vulnerabilità in Adobe Flash Player che esporrebbe il computer di un utente ignaro ad attacchi di tipo remote code-execution.

Un attacker può sfruttare questa falla per eseguire codice arbitrario malevolo da remoto con i privilegi che in quel momento l'utente ha avviato il programma fallato. Il fallimento dellla tecnica su descritta porterebbe ad un crash dell'applicazione o una condizione di negazione del servizio al legittimno user.

La falla è stata confermata nelle versioni antecedenti Flash Player 10.0.12.36.

Più nello specifico:
Adobe Flex 3.0
Adobe Flash Player Plugin 9.0.31 .0
Adobe Flash Player Plugin 9.0.28 .0
Adobe Flash Player Plugin 9.0.20 .0
Adobe Flash Player Plugin 9.0.16
Adobe Flash Player Plugin 8.0
Adobe Flash Player Plugin 7.0.63
Adobe Flash Player Plugin 7.0.25
Adobe Flash Player Plugin 9.0.45.0
Adobe Flash Player Plugin 9.0.18d60
Adobe Flash Player Plugin 9.0.124.0
Adobe Flash Player Plugin 9.0.124.0
Adobe Flash Player Plugin 9.0.112.0
Adobe Flash Player Plugin 10.0.12.10
Adobe Flash Player 10.0.15 .3
Adobe Flash Player 10.0.12 .36
Adobe Flash Player 10.0.12 .35
Adobe Flash Player 9.0.152 .0
Adobe Flash Player 9.0.151 .0
Adobe Flash Player 9.0.124 .0
Adobe Flash Player 9.0.48.0
Adobe Flash Player 9.0.47.0
Adobe Flash Player 9.0.45.0
Adobe Flash Player 9.0.31.0
Adobe Flash Player 9.0.28.0
Adobe Flash Player 9.0.115.0
Adobe Flash Player 9
Adobe Flash Player 8.0.35.0
Adobe Flash Player 8.0.34.0
Adobe Flash Player 7.0.70.0
Adobe Flash Player 7.0.69.0
Adobe Flash Player 7
Adobe Flash Player 10
Adobe Flash CS4 Professional 0
Adobe Flash CS3 Professional 0
Adobe AIR 1.5

Soluzione:
Il produttore ha rilasciato un bollettino e un aggiornamento per ogni suo prodotto contenente il Flash Player. Per maggiori info, seguire questa pagina.

Versioni non vulnerabili:
Adobe Flash Player 10.0.22 .87
Adobe AIR 1.5.1

Classe falla:
Failure to Handle Exceptional Conditions

Falla scoperta da:
Javier Vicente Vallejo

Advisories d'origine:
http://labs.idefense.com/intelligenc...lay.php?id=773
http://www.securityfocus.com/archive/1/501195
http://www.adobe.com/support/securit...apsb09-01.html

Fonte: SecurityFocus

c.m.g · 25-02-2009, 11:14

Adobe Flash Player Multiple Vulnerabilities su secunia

Den76 · 25-02-2009, 13:36

Ma queste vulnerabilità sono state sanate con la nuova release?
Perchè vedo che il bollettino di Secunia è datato 25 febbraio.

c.m.g · 25-02-2009, 13:39

si che è stata sanata, in genere secunia arriva sempre dopo di security focus

Den76 · 25-02-2009, 14:19

Ah ok. Buono a sapersi. Grazie

FulValBot · 25-02-2009, 18:59

ho l'impressione che sia stata l'unica cosa fixata -.- gli hangs dei browser sono ancora lì -.-

anzi sembra che vada perfino peggio de prima -.-

c.m.g · 26-02-2009, 07:17

altre falle correlate e corrette su security focus:

Adobe Flash Player Unspecified Information Disclosure Vulnerability

Adobe Flash Player Unspecified Remote Denial of Service Vulnerability

c.m.g · 26-02-2009, 08:13

Adobe ripara Flash Player 10 su webnews

25-02-2009, 09:08	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Adobe Flash Player Invalid Object Reference Remote CodeExecution Vulnerability 24 febbraio 2009 Security Focus riporta un bollettino di sicurezza (Bugtraq ID 33880) in cui si spiega che è stata trovata una vulnerabilità in Adobe Flash Player che esporrebbe il computer di un utente ignaro ad attacchi di tipo remote code-execution. Un attacker può sfruttare questa falla per eseguire codice arbitrario malevolo da remoto con i privilegi che in quel momento l'utente ha avviato il programma fallato. Il fallimento dellla tecnica su descritta porterebbe ad un crash dell'applicazione o una condizione di negazione del servizio al legittimno user. La falla è stata confermata nelle versioni antecedenti Flash Player 10.0.12.36. Più nello specifico: Adobe Flex 3.0 Adobe Flash Player Plugin 9.0.31 .0 Adobe Flash Player Plugin 9.0.28 .0 Adobe Flash Player Plugin 9.0.20 .0 Adobe Flash Player Plugin 9.0.16 Adobe Flash Player Plugin 8.0 Adobe Flash Player Plugin 7.0.63 Adobe Flash Player Plugin 7.0.25 Adobe Flash Player Plugin 9.0.45.0 Adobe Flash Player Plugin 9.0.18d60 Adobe Flash Player Plugin 9.0.124.0 Adobe Flash Player Plugin 9.0.124.0 Adobe Flash Player Plugin 9.0.112.0 Adobe Flash Player Plugin 10.0.12.10 Adobe Flash Player 10.0.15 .3 Adobe Flash Player 10.0.12 .36 Adobe Flash Player 10.0.12 .35 Adobe Flash Player 9.0.152 .0 Adobe Flash Player 9.0.151 .0 Adobe Flash Player 9.0.124 .0 Adobe Flash Player 9.0.48.0 Adobe Flash Player 9.0.47.0 Adobe Flash Player 9.0.45.0 Adobe Flash Player 9.0.31.0 Adobe Flash Player 9.0.28.0 Adobe Flash Player 9.0.115.0 Adobe Flash Player 9 Adobe Flash Player 8.0.35.0 Adobe Flash Player 8.0.34.0 Adobe Flash Player 7.0.70.0 Adobe Flash Player 7.0.69.0 Adobe Flash Player 7 Adobe Flash Player 10 Adobe Flash CS4 Professional 0 Adobe Flash CS3 Professional 0 Adobe AIR 1.5 Soluzione: Il produttore ha rilasciato un bollettino e un aggiornamento per ogni suo prodotto contenente il Flash Player. Per maggiori info, seguire questa pagina. Versioni non vulnerabili: Adobe Flash Player 10.0.22 .87 Adobe AIR 1.5.1 Classe falla: Failure to Handle Exceptional Conditions Falla scoperta da: Javier Vicente Vallejo Advisories d'origine: http://labs.idefense.com/intelligenc...lay.php?id=773 http://www.securityfocus.com/archive/1/501195 http://www.adobe.com/support/securit...apsb09-01.html Fonte: SecurityFocus __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

25-02-2009, 11:14	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	Adobe Flash Player Multiple Vulnerabilities su secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

25-02-2009, 13:39	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	si che è stata sanata, in genere secunia arriva sempre dopo di security focus __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

25-02-2009, 18:59	#6
FulValBot Senior Member Iscritto dal: Oct 2007 Città: Roma Messaggi: 9799	ho l'impressione che sia stata l'unica cosa fixata -.- gli hangs dei browser sono ancora lì -.- anzi sembra che vada perfino peggio de prima -.- Ultima modifica di FulValBot : 25-02-2009 alle 21:40.

26-02-2009, 07:17	#7
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	altre falle correlate e corrette su security focus: Adobe Flash Player Unspecified Information Disclosure Vulnerability Adobe Flash Player Unspecified Remote Denial of Service Vulnerability __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

25-02-2009, 13:36	#3
Den76 Member Iscritto dal: Oct 2005 Messaggi: 93	Ma queste vulnerabilità sono state sanate con la nuova release? Perchè vedo che il bollettino di Secunia è datato 25 febbraio.

25-02-2009, 14:19	#5
Den76 Member Iscritto dal: Oct 2005 Messaggi: 93	Ah ok. Buono a sapersi. Grazie

26-02-2009, 08:13	#8
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	Adobe ripara Flash Player 10 su webnews __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email