Data de divulgação: 8 de abril de 2008
Identificador de vulnerabilidade: APSB08-11
Número CVE: CVE-2007-5275, CVE-2007-6243, CVE-2007-6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654
Plataforma: todas as plataformas
Foram identificadas vulnerabilidades críticas no Adobe Flash Player que poderiam permitir que um invasor conseguisse explorá-las para assumir o controle do sistema afetado. Um arquivo SWF malicioso pode ser carregado pelo usuário no Flash Player para que o invasor possa explorar essas vulnerabilidades. É recomendável que os usuários atualizem para a versão mais recente do Flash Player disponível para o sistema operacional.
Como esses aumentos e alterações na segurança podem afetar de alguma forma o conteúdo existente em Flash, aconselhamos que os desenvolvedores de conteúdo consultem este artigo do Adobe Developer Center*, de março de 2008, para determinar se as alterações afetarão o conteúdo criado e para começar a implementar imediatamente as mudanças necessárias e, assim, fazer uma transição suave.
Adobe Flash Player 9.0.115.0 e versões anteriores, e 8.0.39.0 e versões anteriores.
Para verificar o número de versão do Adobe Flash Player, acesse a página Sobre o Flash Player* ou clique com o botão direito do mouse no conteúdo Flash e selecione “Sobre o Adobe (ou Macromedia) Flash Player” no menu. Aconselhamos que os clientes que utilizam diversos navegadores façam uma verificação em cada navegador instalado no sistema.
A Adobe recomenda que todos os usuários do Adobe Flash Player 9.0.115.0 e versões anteriores atualizem para a versão mais recente 9.0.124.0, efetuando download a partir do Centro de download do Player ou, quando solicitado, usando o mecanismo de atualização automática no produto.
A Adobe considera ser esta uma atualização crítica* e recomenda aos usuários afetados atualizar para a versão 9.0.124.0.
Esta atualização resolve os erros de validação de entrada identificados no Flash Player 9.0.115.0 e em versões anteriores que poderiam levar à possível execução de código arbitrário. Essas vulnerabilidades poderiam ser acessadas através do conteúdo fornecido por um local remoto através do navegador da Web, do cliente de e-mail ou de outros aplicativos do usuário que incluem ou fazem referência ao Flash Player. (CVE-2007-0071, CVE-2007-6019)
OBSERVAÇÃO: esses são os relatórios em que o problema identificado como CVE-2007-0071 está sendo aproveitado em condições naturais.
Esta atualização conta com recursos para eliminar possíveis problemas que poderiam permitir a um invasor executar um ataque do tipo DNS rebinding. Para obter mais informações, consulte o seguinte artigo no Adobe Developer Center*. (CVE-2007-5275, CVE-2008-1655)
Esta atualização introduz um método novo e mais conservador para o Flash Player interpretar os arquivos do tipo cross-domain policy. Essas alterações podem ajudar a impedir ataques de escala de privilégio contra servidores web hospedando conteúdo Flash e arquivos de diretiva nos domínios. Para obter mais informações, consulte o seguinte artigo no Adobe Developer Center*. (CVE-2007-6243)
Essa atualização agrega um novo recurso de segurança para executar um arquivo do tipo cross-domain policy antes de permitir que os SWFs enviem cabeçalhos HTTP a outro domínio. Essa alteração ajuda a melhorar a segurança do site, ajudando na defesa contra cabeçalhos HTTP maliciosos enviados por conteúdo de outros domínios. Para obter mais informações, consulte a seguinte nota técnica*. (CVE-2008-1654)
Com esta atualização, o padrão allowScriptAccess, que é usado quando o parâmetro não é especificado, será atualizado de "always" para "sameDomain" para todos os SWFs versão 7 e anteriores. Isso muda o comportamento de SWFs mais antigos, equiparando-os aos modelo de segurança atual e oferecendo maior segurança como padrão. Além disso, ajuda a evitar ações de execução de script em SWFs que não sejam destinados pelo autor do conteúdo, as APIs que não forem especificamente projetadas para interação com o navegador não permitirão mais URLs "javascript:". As APIs getURL() e navigateToURL(), que são destinadas a interação do navegador, continuarão a aceitar URLs "javascript:". Essas mudanças devem mitigar problemas originalmente descritos nos conselhos sobre segurança APSA07-06. (CVE-2007-6637)
Como esses aumentos e alterações na segurança podem afetar de alguma forma o conteúdo existente em Flash, aconselhamos que os clientes consultem este artigo do Adobe Developer Center*, de março de 2008, para determinar se as alterações afetarão o conteúdo criado e para começar a implementar imediatamente as mudanças necessárias e, assim, fazer uma transição suave.
Os clientes que se encaixarem nessa situação devem ler o artigo* em detalhes:
– Uso de sockets ou XMLSockets, independentemente do domínio ao qual o SWF está se conectando.
– Uso de addRequestHeader ou URLRequest.requestHeaders em qualquer chamada de API na rede ao enviar ou carregar dados entre domínios OU Acesso a conteúdo em domínios remotos, como provedor de serviços da web.
– Uso de SWFs que são exportados para Flash Player 7 (SWF7) ou anteriores e que se comunicam com o HTML host por quaisquer meios.
– Uso de “javascript:” por meio de APIs de rede para se comunicar fora de um SWF.
| Software afetado | Atualização recomendada do Player | Disponibilidade |
|---|---|---|
| Flash Player 9.0.115.0 e versões anteriores | 9.0.124.0 | Centro de download do Player |
| Flash Player 9.0.115.0 e versões anteriores distribuição em rede | 9.0.124.0 | Licenciamento do Player* |
| Flash CS3 Professional | 9.0.124.0 | Atualização do Flash Player 9 para Flash CS3 Professional* |
| Flash Professional 8, Flash Basic | 8.0.42.0 | Atualização do Flash Player 8 para o Flash Professional 8, Flash Basic* |
| Flex 3.0 | 9.0.124.0 | Updater do Player para depuração do Flash* |
| AIR 1.0 | 1.0.1 | Centro de download do AIR* |
A Adobe gostaria de agradecer Alin Rad Pop, da Secunia Research*, e Javier Vicente Vallejo e Shane Macaulay, que, por meio da TippingPoint's Zero Day Initiative*, relataram um erro na validação da entrada, trabalhando conosco para ajudar a proteger a segurança de nossos clientes em comum. (CVE-2007-6019)
A Adobe gostaria de agradecer Mark Dowd, da ISS X-Force* e wushi, da team509*, que, por meio da TippingPoint's Zero Day Initiative*, relataram um erro na validação da entrada, trabalhando conosco para ajudar a proteger a segurança de nossos clientes em comum. (CVE-2007-0071)
A Adobe gostaria de agradecer a Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson e Weidong Shao, da Stanford University*, por relatarem o problema de DNS rebinding e por trabalharem conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-5275)
A Adobe gostaria de agradecer Nathan McFeters e Rob Carter, do Ernst and Young’s Advanced Security Center*, por relatarem o problema de DNS rebinding e por trabalharem conosco para protegermos a segurança de nossos clientes em comum. (CVE-2008-1655)
A Adobe gostaria de agradecer Tom Gallagher, da Microsoft*, por relatar o problema de DNS rebinding e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2008-1654)
A Adobe gostaria de agradecer a Toshiharu Sugiyama da UBsecure, Inc*. e a JPCERT/CC* por relatarem o problema com o arquivo do tipo cross-domain policy, bem como por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-6243)
Adobe gostaria de agradecer Rich Cannings, da Google Security Team*, e Stefano Di Paola, da Minded Security*, por relatarem possíveis vulnerabilidades de cross-site scripting em SWFs. (CVE-2007-6637)
30 de maio de 2008 — as informações em relatórios do CVE-2007-0071 estão sendo aproveitadas nas condições adicionadas à seção Detalhes.
17 de abril de 2008 – Informações sobre o Flash CS3 Professional, Flash Professional 8 e Flash Basic adicionadas à seção de Detalhes
8 de abril de 2008 – Criação do boletim
