Alert GCSA-07068 - Vulnerabilita' multiple in Adobe Flash Player
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07068
Data : 11 luglio 2007
Titolo : Vulnerabilita' multiple in Adobe Flash Player
******************************************************************
:: Descrizione del problema
Sono state riscontrate tre vulnerabilita' in Adobe Flash Player, che
potrebbero essere sfruttate da un attaccante remoto per venire a conoscenza
di informazioni riservate o per ottenere il controllo completo di un sistema
che ne sia affetto.
La prima vulnerabilita' (CVE-2007-3456) e' dovuta ad un errore di validazione
dell'input e potrebbe essere sfruttata per eseguire codice arbitrario
inducendo l'utente a visitare pagine web malevole.
La seconda vulnerabilita' (CVE-2007-2022) e' causata da un errore di
interazione del Flash Player con certi browser e potrebbe essere sfruttata per
ottenere informazioni di carattere riservato. Questa vulnerabilita' riguarda
le versioni 7.0.69.0 e precedenti su Linux e Solaris, mentre non riguarda
Flash Player 9.
La terza vulnerabilita' (CVE-2007-3457) e' causata da un'insufficiente
validazione del Referer HTTP, e potrebbe aiutare un attaccante a eseguire
attacchi di tipo Cross-Site Request Forgery. Questa vulnerabilita' riguarda le
versioni 8.0.34.0 e precedenti, mentre non riguarda Flash Player 9.
:: Piattaforme e software interessati
- - Adobe Flash Player 9.x
- - Macromedia Flash Player 7.x
- - Macromedia Flash Player 8.x
:: Impatto
- - Information Exposure
- - Possibile ottenimento del completo controllo del sistema
:: Soluzioni
Aggiornare Flash Player alla versione 9.0.47.0:
http://www.adobe.com/go/getflash
:: Riferimenti
Adobe Security Advisory
http://www.adobe.com/support/security/bulletins/apsb07-12.html
Secunia:
http://secunia.com/advisories/26027/
CVE Mitre:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2022
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3456
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3457
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRpTQv/OB+SpikaiRAQKFkgP7Bd/jmKDRLztlg0raJaXwluQCmyh57M0m
JI6XyKzrwkPWtNV+ECJPLav3ywtNT0Na8PSbhu8KF7I8MhHK1HeUeEMfry7NLiOF
ieEW+AtNWT/STRDPCA+FtKw/aPr1tUOke9slumbJ+Y/azCWmxAownTIsGOYYKkLd
baMvtwBTo9c=
=VdP3
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07068
Data : 11 luglio 2007
Titolo : Vulnerabilita' multiple in Adobe Flash Player
******************************************************************
:: Descrizione del problema
Sono state riscontrate tre vulnerabilita' in Adobe Flash Player, che
potrebbero essere sfruttate da un attaccante remoto per venire a conoscenza
di informazioni riservate o per ottenere il controllo completo di un sistema
che ne sia affetto.
La prima vulnerabilita' (CVE-2007-3456) e' dovuta ad un errore di validazione
dell'input e potrebbe essere sfruttata per eseguire codice arbitrario
inducendo l'utente a visitare pagine web malevole.
La seconda vulnerabilita' (CVE-2007-2022) e' causata da un errore di
interazione del Flash Player con certi browser e potrebbe essere sfruttata per
ottenere informazioni di carattere riservato. Questa vulnerabilita' riguarda
le versioni 7.0.69.0 e precedenti su Linux e Solaris, mentre non riguarda
Flash Player 9.
La terza vulnerabilita' (CVE-2007-3457) e' causata da un'insufficiente
validazione del Referer HTTP, e potrebbe aiutare un attaccante a eseguire
attacchi di tipo Cross-Site Request Forgery. Questa vulnerabilita' riguarda le
versioni 8.0.34.0 e precedenti, mentre non riguarda Flash Player 9.
:: Piattaforme e software interessati
- - Adobe Flash Player 9.x
- - Macromedia Flash Player 7.x
- - Macromedia Flash Player 8.x
:: Impatto
- - Information Exposure
- - Possibile ottenimento del completo controllo del sistema
:: Soluzioni
Aggiornare Flash Player alla versione 9.0.47.0:
http://www.adobe.com/go/getflash
:: Riferimenti
Adobe Security Advisory
http://www.adobe.com/support/security/bulletins/apsb07-12.html
Secunia:
http://secunia.com/advisories/26027/
CVE Mitre:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2022
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3456
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3457
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRpTQv/OB+SpikaiRAQKFkgP7Bd/jmKDRLztlg0raJaXwluQCmyh57M0m
JI6XyKzrwkPWtNV+ECJPLav3ywtNT0Na8PSbhu8KF7I8MhHK1HeUeEMfry7NLiOF
ieEW+AtNWT/STRDPCA+FtKw/aPr1tUOke9slumbJ+Y/azCWmxAownTIsGOYYKkLd
baMvtwBTo9c=
=VdP3
-----END PGP SIGNATURE-----