发布日期: 2008 年 4 月 8 日
漏洞标识符: APSB08-11
CVE 编号: CVE-2007-5275、CVE-2007-6243、CVE-2007-6637、CVE-2007-6019、CVE-2007-0071、CVE-2008-1655、CVE-2008-1654
平台: 所有平台
在 Adobe Flash Player 中已识别出关键的漏洞, 这使得成功利用这些潜在漏洞的攻击者能够控制受影响的系统。 攻击者要利用这些潜在漏洞, 必须由用户在 Flash Player 中加载恶意 SWF。 建议用户将 Flash Player 更新至对于他们的操作系统可用的最新版本。
由于这些安全增强和更改有可能会影响现有 Flash 内容, 建议内容开发人员查看 2008 年 3 月的 Adobe 开发人员中心文章*以确定这些更改是否将影响其内容, 并立即开始实施必要的更改以帮助确保无缝的过渡。
Adobe Flash Player 9.0.115.0 及更早版本和 8.0.39.0 及更早版本。
若要验证 Adobe Flash Player 版本号, 请访问“关于 Flash Player”页面*, 或右键单击 Flash 内容并从菜单中选择“关于 Adobe (或 Macromedia) Flash Player”。 建议使用多个浏览器的客户对在其系统上安装的每个浏览器执行该检查。
通过在出现提示时从 Player 下载中心下载, 或通过使用产品内的自动更新机制, Adobe 建议 Adobe Flash Player 9.0.115.0 及更早版本的所有用户升级至最新版本 9.0.124.0。
Adobe 将其分类为关键更新并建议受影响的用户升级到 9.0.124.0 版。
此更新解决已在 Flash Player 9.0.115.0 及更早版本中识别出的输入验证错误, 这些错误可能会导致潜在地执行任意代码。这些漏洞可以经由用户的 Web 浏览器、电子邮件客户端或包含或引用 Flash Player 的其他应用程序, 通过从某个远程位置提供的内容进行访问。 (CVE-2007-0071、CVE-2007-6019)
注意: 存在已被标识为 CVE-2007-0071 的问题即将被利用的报告。
此更新引入了可减轻潜在问题的功能, 这些问题可能会帮助攻击者执行 DNS 重新绑定攻击。有关详细信息, 请查看下面的 Adobe 开发人员中心文章*。 (CVE-2007-5275、CVE-2008-1655)
此更新为 Flash Player 引入了一种全新的、更加保守的方法来解释跨域策略文件。这些更改可以帮助防止针对托管 Flash 内容和跨域策略文件的 Web 服务器的权限提升攻击。 有关详细信息, 请查看下面的 Adobe 开发人员中心文章*。 (CVE-2007-6243)
此更新添加一个新的安全功能来执行跨域策略文件检查之后, 才能允许 SWF 将 HTTP 头发送到另一个域。通过帮助防御来自其他域的内容所发送的恶意 HTTP 头, 此更改可帮助提高网站安全性。有关更多信息, 请参阅以下技术说明*。(CVE-2008-1654)
对于所有 SWF 版本 7 及更早版本, 进行此更新之后, 会将默认值 allowScriptAccess (未指定该参数时将使用的值) 从“always”更新为“sameDomain”。这会更改较旧的 SWF 的行为以匹配当前的安全模型, 且默认情况下, 会提供更高的安全性。此外, 为了帮助防止在 SWF 中不是内容作者想要的脚本执行操作, 不是专门为浏览器交互设计的 API 将不再允许“javascript:”URL。专门为浏览器交互提供的 getURL() 和 navigateToURL() API 将继续接受“javascript:”URL。这些更改的目的是减轻最初在安全建议 APSA07-06 中所述的问题。(CVE-2007-6637)
由于这些安全增强和更改有可能会影响现有 Flash 内容, 建议客户查看 2008 年 3 月的 Adobe 开发人员中心文章*以确定这些更改是否将影响其内容, 并立即开始实施必要的更改以帮助确保无缝的过渡。
处于下列情形的客户应详细阅读该文章*:
– 使用套接字或 XMLSocket, 而不管 SWF 所连接到的域。
– 当发送或加载数据跨域时, 在任何网络 API 中使用 addRequestHeader 或 URLRequest.requestHeaders, 或者作为一个 Web 服务提供商提供对远程域上的内容的访问。
– 使用为通过任何方式与主机托管 HTML 通信的 Flash Player 7 (SWF7) 或更低版本导出的 SWF。
– 使用通过网络 API 在 SWF 外部通信的“javascript:”。
| 受影响的软件 | 建议的 Player 更新 | 可用性 |
|---|---|---|
| Flash Player 9.0.115.0 及早期版本 | 9.0.124.0 | Player 下载中心 |
| Flash Player 9.0.115.0 及更早版本 网络分发 | 9.0.124.0 | Player 授权* |
| Flash CS3 Professional | 9.0.124.0 | 适用于 Flash CS3 Professional 的 Flash Player 9 更新* |
| Flash Professional 8, Flash Basic | 8.0.42.0 | 适用于 Flash Professional 8 和 Flash Basic 8 的 Flash Player 8 更新* |
| Flex 3.0 | 9.0.124.0 | Flash Debug Player 更新程序* |
| AIR 1.0 | 1.0.1 | AIR 下载中心* |
Adobe 衷心感谢 Secunia Research* 的 Alin Rad Pop 和通过 TippingPoint 的 Zero Day Initiative* 报告的 Javier Vicente Vallejo 和 Shane Macaulay, 感谢他们报告一个输入验证错误并与我们一起帮助保护我们的共同客户的安全。(CVE-2007-6019)
Adobe 衷心感谢 ISS X-Force* 的 Mark Dowd 和通过 TippingPoint 的 Zero Day Initiative* 报告的 team509* 的 wushi, 感谢他们报告一个输入验证错误并与我们一起帮助保护我们的共同客户的安全。(CVE-2007-0071)
Adobe 衷心感谢斯坦福大学*的 Dan Boneh、Adam Barth、Andrew Bortz、Collin Jackson 和 Weidong Shao, 感谢他们报告 DNS 重新绑定问题并与我们一起帮助保护我们的客户的安全。(CVE-2007-5275)
Adobe 衷心感谢 Ernst and Young’s Advanced Security Center* 的 Nathan McFeters 和 Rob Carter, 感谢他们报告 DNS 重新绑定问题并与我们一起帮助保护我们的客户的安全。(CVE-2008-1655)
Adobe 衷心感谢 Microsoft* 的 Tom Gallagher, 感谢他报告该 HTTP 头问题并与我们一起帮助保护我们的客户的安全。(CVE-2008-1654)
Adobe 衷心感谢 UBsecure, Inc.* 和JPCERT/CC 的 Toshiharu Sugiyama, 感谢他报告该跨域策略文件问题并与我们一起帮助保护我们的共同客户的安全。(CVE-2007-6243)
Adobe 衷心感谢 Google 安全小组*的 Rich Cannings 和 Minded Security* 的 Stefano Di Paola, 感谢他们报告 SWF 中潜在的跨站点脚本漏洞。(CVE-2007-6637)
2008 年 5 月 30 日 – 将关于 CVE-2007-0071 即将被利用的报告的信息添加到“详细信息”部分中。
4 月 17 日 – 将关于 Flash CS3 Professional、Flash Professional 8 和 Flash Basic 的信息添加到“详细信息”部分中
2008 年 4 月 8 日 – 公告第一次创建
