[NEWS] Adobe Dreamweaver/Contribute "Insert Flash Video" Cross-Site Scripting

c.m.g · 17-01-2008, 13:32

17/01/2008

La società di sicurezza Secunia ha riportato un advisory (SA28519) nel quale si riporta una vulnerabilità giudicata Less critical in Adobe Contribute 4.x, Adobe Contribute CS3, Adobe Dreamweaver CS3 che può essere usata da mlintenzionati per condurre attacchi di tipo cross-site scripting.
La vulnerabilità deriverebbe dalla gestione

The vulnerabilities are caused due to input validation errors in the generated code when using the "Insert Flash Video" command. This can be exploited to execute arbitrary HTML and script code in the context of an affected site using a generated SWF file.
Questa vulnerabilità è stata scoperta da Rich Cannings del Google Security Team.
Le vulnerabilità sono dovute ad errori di convalidazione di in input nel codice generato quando si usa il comando "Inserisci Video Flash". Questa falla può essere sfruttata per eseguire HTML arbitrario e codice di scrittura nel contesto di un sito creato che usa un file SWF generato.

Solutione:
Aggiornare i file FLVPlayer_Progressive.swf e FLVPlayer_Streaming.swf.
http://www.adobe.com/go/kb402925.

Original Advisory:
APSB08-01:
http://www.adobe.com/support/securit...apsb08-01.html

APSA07-06:
http://www.adobe.com/support/securit...apsa07-06.html

Other References:
SA28161:
http://secunia.com/advisories/28161/

Fonte: Secunia

c.m.g · 17-01-2008, 14:55

riportato anche da security focus:

http://www.securityfocus.com/bid/27034

17-01-2008, 13:32	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Adobe Dreamweaver/Contribute "Insert Flash Video" Cross-Site Scripting 17/01/2008 La società di sicurezza Secunia ha riportato un advisory (SA28519) nel quale si riporta una vulnerabilità giudicata Less critical in Adobe Contribute 4.x, Adobe Contribute CS3, Adobe Dreamweaver CS3 che può essere usata da mlintenzionati per condurre attacchi di tipo cross-site scripting. La vulnerabilità deriverebbe dalla gestione The vulnerabilities are caused due to input validation errors in the generated code when using the "Insert Flash Video" command. This can be exploited to execute arbitrary HTML and script code in the context of an affected site using a generated SWF file. Questa vulnerabilità è stata scoperta da Rich Cannings del Google Security Team. Le vulnerabilità sono dovute ad errori di convalidazione di in input nel codice generato quando si usa il comando "Inserisci Video Flash". Questa falla può essere sfruttata per eseguire HTML arbitrario e codice di scrittura nel contesto di un sito creato che usa un file SWF generato. Solutione: Aggiornare i file FLVPlayer_Progressive.swf e FLVPlayer_Streaming.swf. http://www.adobe.com/go/kb402925. Original Advisory: APSB08-01: http://www.adobe.com/support/securit...apsb08-01.html APSA07-06: http://www.adobe.com/support/securit...apsa07-06.html Other References: SA28161: http://secunia.com/advisories/28161/ Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

17-01-2008, 14:55	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	riportato anche da security focus: http://www.securityfocus.com/bid/27034 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email