Adobe Flash Player Multiple Vulnerabilities [Aggiornate le Flash!!!!]

ERCOLINO · 9 Aprile 2008

Secunia Advisory: SA28083
Release Date: 2008-04-09

Critical: Highly critical
Impact: Security Bypass
Cross Site Scripting
System access
Where: From remote
Solution Status: Vendor Patch

Software: Adobe Flash Player 9.x

CVE reference:
CVE-2007-0071 (Secunia mirror)
CVE-2007-5275 (Secunia mirror)
CVE-2007-6019 (Secunia mirror)
CVE-2007-6243 (Secunia mirror)
CVE-2007-6637 (Secunia mirror)
CVE-2008-1654 (Secunia mirror)
CVE-2008-1655 (Secunia mirror)

Description:
Some vulnerabilities have been reported in Adobe Flash Player, which can be exploited by malicious people to bypass certain security restrictions, conduct cross-site scripting attacks, or to potentially compromise a user's system.

1) A boundary error exists in the processing of "Declare Function (V7)" tags. This can be exploited to cause a heap-based buffer overflow via specially crafted flags.

2) An integer overflow in the processing of multimedia files can be exploited to cause a buffer overflow.

Successful exploitation of the vulnerabilities may allow execution of arbitrary code.

3) Errors when pinning a hostname to an IP address can be exploited to conduct DNS rebinding attacks.

This is related to vulnerability #3 in:
SA28161

4) An error when sending HTTP headers can be exploited to bypass cross-domain policy files.

5) An error exists in the enforcing of cross-domain policy files. This can be exploited to bypass certain security restrictions on web servers hosting cross-domain policy files.

This is related to vulnerability #4 in:
SA28161

6) Input passed to unspecified parameters when handling e.g. the "asfunction:" protocol is not properly sanitised before being returned to the user. This can be exploited to inject arbitrary HTML and script code in a user's browser session in context of an affected site.

This is related to vulnerability #5 in:
SA28161

The vulnerabilities are reported in versions prior to 9.0.124.0.

Solution:
Update to a fixed version.

-- Flash Player 9.0.115.0 and earlier --

Update to version 9.0.124.0.

Bollettino Sicurezza

Aggiornate le Flash sia per I.E che per Firefox

inkman · 9 Aprile 2008

Aggiornato adesso, sia per IE che per Firefox,
Thanks ERCOLINO

.

ERCOLINO · 10 Aprile 2008

Update urgente per Flash Player

Supernino · 10 Aprile 2008

Grazie della segnalazione, aggiorno subito

Posto direttamente il link dell'aggiornamento: http://www.adobe.com/go/getflash

GPP · 10 Aprile 2008

Prima passavo un pò di tempo a girare i vari siti dei produttori per vedere se ci fossero aggiornamenti dei programmi, ma con Ercolino che svolge questo compito, chi me lo fa fare? Basta leggere le sue segnalazioni e sai quando è uscito questo o quell' altro aggiornamento. E' meglio degli stessi feed ufficiali! :lol:

Supernino · 10 Aprile 2008

gpp ha scritto:
Prima passavo un pò di tempo a girare i vari siti dei produttori per vedere se ci fossero aggiornamenti dei programmi, ma con Ercolino che svolge questo compito, chi me lo fa fare? Basta leggere le sue segnalazioni e sai quando è uscito questo o quell' altro aggiornamento. E' meglio degli stessi feed ufficiali!

Quoto

giollo63 · 10 Aprile 2008

supernino ha scritto:
Grazie della segnalazione, aggiorno subito

Posto direttamente il link dell'aggiornamento: http://www.adobe.com/go/getflash

l'aggiornamento che si effettua attraverso l'indirizzo da te segnalato vale sia per i.e. che per firefox?

VIANELLO_85 · 10 Aprile 2008

Mi ha fatto 2 aggiornamenti distinti, lo stesso link uno aperto con ie e uno aperto con FF

GPP · 10 Aprile 2008

Per Firefox devi scaricare da qui

giollo63 · 10 Aprile 2008

scusa gpp ma quello da te segnalato è lo stesso di supernino; mi chiedevo come fare per aggiornare anche quelle di i.e.

GPP · 10 Aprile 2008

Non è uguale, se leggi attentamente sotto il nome della versione c'è scritto che è per Firefox, Opera ed altri browser. Per non fare confusione, questo è il link per chi usa Internet Exporer, questo è invece per gli altri browser, tipo Firefox, Opera e altri specificati

ERCOLINO · 10 Aprile 2008

Oppure usate i browser separatamente ,il sito riconosce automaticamente quale dei due state usando e vi da la versione giusta

Supernino · 11 Aprile 2008

ERCOLINO ha scritto:
Oppure usate i browser separatamente ,il sito riconosce automaticamente quale dei due state usando e vi da la versione giusta

Già... la cosa più semplice è aprire con tutti i browser usati il link: http://www.adobe.com/go/getflash

Il sito riconosce automaticamente browser e sistema operativo

Rednex · 12 Aprile 2008

Fatto!!

Adobe Flash Player Multiple Vulnerabilities [Aggiornate le Flash!!!!]

ERCOLINO

inkman

Digital-Forum Silver Master

ERCOLINO

Supernino

Digital-Forum Friend

GPP

Supernino

Digital-Forum Friend

giollo63

Digital-Forum Gold Master

VIANELLO_85

GPP

giollo63

Digital-Forum Gold Master

GPP

ERCOLINO

Supernino

Digital-Forum Friend

Rednex

Digital-Forum Platinum Master