发布日期:2008 年 11 月 5 日
漏洞标识符:APSB08-20
CVE 编号:CVE-2008-4818、CVE-2008-4819、CVE-2008-4820、CVE-2008-4821、CVE-2008-4822、CVE-2008-4823
平台:所有平台
Adobe Flash Player 9.0.124.0 和更早版本中已发现一些潜在漏洞,它们可能允许成功利用这些潜在漏洞的攻击者跳过 Flash Player 安全控制。Adobe 建议用户更新到为相应平台提供的最新版 Flash Player。已更新到 Flash Player 10.0.12.36 的客户无需采取任何操作。除了本安全公告中列出的问题以外,Flash Player 9.0.151.0 更新还解决了安全公告 APSB08-18* 和安全公告 APSB08-22* 中之前报告的问题。
2008 年 11 月 17 日 - 使用 AIR 1.5 更新*和安全公告 APSB08-22* 中的信息更新公告
2008 年 11 月 5 日 - 第一次创建公告
Adobe Flash Player 9.0.124.0 和更早版本。
要验证 Adobe Flash Player 版本号,请访问“关于 Flash Player”页或右键单击 Flash 内容并从菜单中选择“关于 Adobe(或 Macromedia)Flash Player”。如果使用多个浏览器,检查系统中已安装的各个浏览器。
Adobe 建议 Adobe Flash Player 9.0.124.0 和更早版本的所有用户升级到最新版本 10.0.12.36,方法是从播放器下载中心下载该版本或在提示时使用产品中的自动更新机制。
对于无法更新到 Flash Player 10 的用户,Adobe 开发了一个修补版的 Flash Player 9,即 Flash Player 9.0.151.0,可从以下链接*下载它。
由于安全公告 APSB08-18* 中之前列出的问题,Adobe 将此漏洞归类为关键*更新,并建议受影响的用户升级到版本 10.0.12.36。
除了安全公告 APSB08-18 和安全公告 APSB08-22 之前报告的问题*,Flash Player 10.0.12.36 和 Flash Player 9.0.151.0 更新还解决了下列问题。
此更新包含 Flash Player 对 HTTP 响应标题的解释方式的更改,旨在防止潜在的跨站点脚本攻击。(CVE-2008-4818)
此更新引入了一个更改,旨在减轻可能协助攻击者执行 DNS 重新绑定攻击的潜在问题。(CVE-2008-4819)
此更新引入了更严格的 ActionScipt 属性解释,旨在防止潜在的 HTML 注入式攻击问题。(CVE-2008-4823)
此更新防止了一个策略文件解释问题,该问题可能导致跳过非根域策略。(CVE-2008-4822)
此更新防止了 Mozilla 浏览器上 jar: 协议的一个 Flash Player 解释问题,该问题可能导致信息公开。(CVE-2008-4821)
此更新防止了 Flash Player ActiveX 控件中的一个仅限 Windows 的潜在信息公开问题。(CVE-2008-4820)
受影响的软件 |
建议播放器更新 |
可用性 |
Flash Player 9.0.124.0 和更早版本 |
10.0.12.36 |
|
Flash Player 9.0.124.0 和更早版本 - 网络分发 |
10.0.12.36 |
|
Linux 平台上的 Flash Player 9.0.124.0 和更早版本 |
10.0.12.36 |
|
AIR 1.1 |
AIR 1.5 |
|
Flash CS4 Professional |
10.0.12.36 |
|
Flex 3 |
10.0.12.36 |
Adobe 在此感谢下列个人和组织报告相关问题并与 Adobe 一同保护客户的安全:
