Adobe Shockwave Player'da Çoklu Açıklıklar - Ulusal Bilgi Güvenliği Kapısı

Kaynak:	Security Focus

Seviye:	Yüksek
Bildiri Sürümü:	1.0
Açıklanma Zamanı:	28.10.2010
Yenilenme Zamanı:	29.10.2010
Etkilenen Sistemler:	Adobe Shockwave Player 11.5.9.615 ve öncesi

CVE:	CVE-2010-4090, CVE-2010-3655
BID:	44515, 44516
Referanslar:	Vendor Site http://www.adobe.com Adobe Security Bulletin -2 http://www.adobe.com/support/security/bulletins/apsb10-25.html Zero Day Initiative -4 http://www.zerodayinitiative.com/advisories/ZDI-10-227/ http://www.zerodayinitiative.com/advisories/ZDI-10-228/ SecurityFocus Bugtraq ID -7 http://www.securityfocus.com/bid/44516 http://www.securityfocus.com/bid/44515
Yazar(lar):	TippingPoint's Zero Day Initiative

Açıklama:	Adobe, Shockwave Player'da ortaya çıkan birçok güvenlik açıklığı için yama yayınlamıştır. Tüm bu açıklıklar, yönetici video dosyalarını ayrıştıran kod parçasındaki hatadan kaynaklanmaktadır. Yönetici projeleri Adobe Director tarafından oluşturulmuş olup video oynatmak için gerekli komut dosyalarını, linkleri ve kaynakları barındırmaktadır. Açıklıklardan ilki kod parçasındaki bir hatadan kaynaklanmaktadır. Rastgele boyutlu bir katarın sınırlı boyuta sahip bir arabelleğe kopyalanması sonucunda yığın arabellek taşması meydana gelmektedir. İkinci açıklıkta ise kullanıcının belirttiği boyutta bellek alanı alınmaya çalışılması sonucu bellek taşması olmaktadır. Saldırganlar zararlı içerikli siteleri görüntülemeye teşvik ederek ortaya çıkan bu açıklıkları sömürebilirler.
Etki:	Uzaktan kod çalıştırma, bellek bozulması, yığın taşması, servis dışı bırakma
Çözüm:	Güncellemeler Adobe'un sitesinden edinilebilir.

[ Geri ]

Görüşleriniz