Boletines de Vulnerabilidades |
Cross-site scripting en los archivos SWF de Adobe |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Adobe Flash Player Adobe Dreamweaver CS3 Adobe Dreamweaver 8 Adobe Contribute CS3 Adobe Contribute 4 Adobe Connect Enterprise Server 6 Adobe Flex 3.0 Adobe AIR 1.0 |
Descripción |
|
Se ha encontrado una vulnerabilidad de tipo cross-site scripting en Adobe Flash Player. La vulnerabilidad reside en un error en varias aplicaciones que pueden ser utilizadas para crear contenido SWF con archivos SWF pre-generados, los cuales pueden contener vulnerabilidades de tipo cross-site scripting. Un atacante remoto podría inyectar código script de forma arbitraria mediante la construcción de archivos flash especialmente diseñados. |
|
Solución |
|
Actualización de software Adobe Actualmente no existe ningún parche disponible. La actualización de Flash Player para solucionar dichas vulnerabilidades en los archivos SWF estará disponible en el 2008 http://www.adobe.com/support/security Adobe recomienda a los creadores de contenido Flash utilizar las librerías de validación de datos http://code.google.com/p/flash-validators/ http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps.html Adobe (APSB08-01) Adobe Dreamweaver CS3 o 8 / Windows http://www.adobe.com/support/security/bulletins/downloads/APSB08-01.zip Adobe Dreamweaver CS3 o 8 / Macintosh http://www.adobe.com/support/security/bulletins/downloads/APSB08-01.dmg Adobe Contribute CS3 o 4 / Windows http://www.adobe.com/support/security/bulletins/downloads/APSB08-01.zip Adobe Contribute CS3 o 4 / Macintosh http://www.adobe.com/support/security/bulletins/downloads/APSB08-01.dmg Adobe (APSB08-02) Adobe Connect Enterprise Server 6 - Actualizar a Pack 3 Update http://www.adobe.com/support/connect/updaters.html Adobe (APSB08-11) Adobe Flash Player 9.0.124.0 http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash Adobe Flex 9.0.124.0 http://www.adobe.com/support/flashplayer/downloads.html#fp9 Adobe AIR 1.0.1 http://get.adobe.com/air/ Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. Sun (238305) Flash Player 9.0 r47 para Solaris Solaris 10 / SPARC / patch 125332-03 Solaris 10 / x86 / patch 125333-03 OpenSolaris / build snv_89 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2007-6637 |
BID | |
Recursos adicionales |
|
Adobe Security Bulletin (APSA07-06) http://www.adobe.com/support/security/advisories/apsa07-06.html Adobe Security Bulletin (APSB08-01) http://www.adobe.com/support/security/bulletins/apsb08-01.html Adobe Security Bulletin (APSB08-02) http://www.adobe.com/support/security/bulletins/apsb08-02.html Adobe Security Bulletin (APSB08-11) http://www.adobe.com/support/security/bulletins/apsb08-11.html SUSE Security Advisory (SUSE-SA:2008:022) http://www.novell.com/linux/security/advisories/2008_22_flashplayer.html Sun Alert Notification (238305) http://sunsolve.sun.com/search/document.do?assetkey=1-66-238305-1 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2008-01-04 |
1.1 | Aviso emitido por Adobe (APSB08-02), Aviso emitido por Adobe (APSB08-01) | 2008-01-23 |
1.2 | Aviso emitido por Adobe (APSB08-11) | 2008-04-11 |
1.3 | Aviso emitido por Suse (SUSE-SA:2008:022) | 2008-04-15 |
1.4 | Aviso emitido por Sun (238305) | 2008-06-05 |