Vulnerability Bulletins |
Múltiples vulnerabilidades en Adobe Flash Player, Flex y AIR |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Adobe Flash Player <= 9.0.115.0 Adobe Flash Player <= 8.0.39.0 Adobe Flex 3.0 Adobe AIR 1.0 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Adobe Flash Player 9.0.115.0 y anteriores, 8.0.39.0 y anteriores, Adobe Flex 3.0, y Adobe AIR 1.0. Las vulnerabilidades son descritas a continuación: - CVE-2007-6019: La vulnerabilidad reside en un error en la validación de objetos Actionscript incrustados. Un atacante remoto podría ejecutar código arbitrario mediante un fichero "SWF" especialmente diseñado. - CVE-2007-0071: La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2008-1655: La vulnerabilidad reside en un error en no especificado. Un atacante remoto podría causar un impacto desconocido mediante un ataque de tipo "DNS rebinding". - CVE-2008-1654: La vulnerabilidad reside en un error en la interacción entre Adobe Flash y los servicios UPnP. Un atacante remoto podría realizar ataques de tipo Cross-Site Request Forgery mediante la función "navigateToURL()" de Flash para enviar un mensaje SOAP a un punto de control UPnP. |
|
Solution |
|
|
Actualización de software Adobe (APSB08-11) Adobe Flash Player 9.0.124.0 http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash Adobe Flex 9.0.124.0 http://www.adobe.com/support/flashplayer/downloads.html#fp9 Adobe AIR 1.0.1 http://get.adobe.com/air/ Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. Sun (238305) Flash Player 9.0 r47 para Solaris Solaris 10 / SPARC / patch 125332-03 Solaris 10 / x86 / patch 125333-03 OpenSolaris / build snv_89 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2007-6019 CVE-2007-0071 CVE-2008-1655 CVE-2008-1654 |
| BID |
28694 28697 |
Other resources |
|
|
Adobe Security Bulletin (APSB08-11) http://www.adobe.com/support/security/bulletins/apsb08-11.html SUSE Security Advisory (SUSE-SA:2008:022) http://www.novell.com/linux/security/advisories/2008_22_flashplayer.html Sun Alert Notification (238305) http://sunsolve.sun.com/search/document.do?assetkey=1-66-238305-1 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-04-11 |
| 1.1 | Aviso emitido por Suse (SUSE-SA:2008:022) | 2008-04-15 |
| 1.2 | Aviso emitido por Sun (238305) | 2008-06-05 |