scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Macromedia Flash bis 8.0.24.0 unbekannter Fehler Pufferüberlauf

Allgemein

scipID: 2085
Betroffen: Macromedia Flash bis 8.0.24.0
Veröffentlicht: 15.03.2006 (Adobe (ehemals Macromedia))
Risiko: kritisch

Beschreibung

Macromedia Flash (kurz Flash) ist eine proprietäre integrierte Entwicklungsumgebung zur Erzeugung von Flash-Filmen im SWF-Format, einem auf Vektorgrafiken basierenden Grafik- und Animationsformat der amerikanischen Firma Macromedia. Wie der neue Firmen-Besitzer Adobe mitteilt, existiert ein Pufferüberlauf-Fehler in den Versionen bis 8.0.24.0. Diese ermöglichen es, beliebigen Programmcode auf einem betroffenen System auszuführen. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler wurde durch aktualisierte Software-Versionen behoben.

Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen SWF-Dateien in der Lage, über den Webbrowser beliebigen Programmcode ausführen zu lassen. Vor allem Skript-Kiddies und Anbieter von Dialern werden diese Methode für ihre Zwecke nutzen wollen. Es ist kein Geheimnis, dass aktive Inhalte wie Flash nicht unbedingt den besten Ruf in Bezug auf die Sicherheit geniesst. So sollte man bei Nichtgebrauch auf die Interpretation dessen verzichten.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: –
Milw0rm: –
Nessus: 21459 (Name: FreeBSD : linux-flashplugin — arbitrary code execution vulnerability (1934)
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www.opera.com/docs/changelogs/windows/854/

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.macromedia.com/support/flash/downloads.html

Snort: –
Pattern: –

Quellen

Advisory: http://www.macromedia.com/devnet/security/security_zone/apsb06-03.html

CVE: CVE-2006-0024
OSVDB: 23908
Securityfocus: 17106
Secunia: 28136
X-Force: 25005
Securitytracker: 1015770
VUPEN: ADV-2007-4238
Securiteam: –

Tecchannel: –
Heise: –
smSS: –
Andere: http://www.microsoft.com/technet/security/advisory/916208.mspx
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter