Releasedatum: 10 juli 2007
ID kwetsbaarheidsprobleem: APSB07-12
CVE-nummer: CVE-2007-3456, CVE-2007-3457, CVE-2007-2022
Platform: Alle platforms
Er zijn kritieke kwetsbaarheden geïdentificeerd in Adobe Flash Player waarmee een aanvaller die erin slaagt deze potentiële kwetsbaarheden te misbruiken, controle kan verkrijgen over het desbetreffende systeem. Door de gebruiker moet een kwaadaardig SWF-bestand in Flash Player zijn geladen voordat een aanvaller deze potentiële kwetsbaarheden kan misbruiken. Adobe raadt gebruikers aan een update uit te voeren naar de recentste versie van Flash Player die beschikbaar is voor hun platform.
Adobe Flash Player 9.0.45.0 en eerder, 8.0.34.0 en eerder en 7.0.69.0 en eerder.
Als u het versienummer van de Adobe Flash Player wilt verifiëren, opent u de pagina About Flash Player of klikt u met de rechtermuisknop op Flash-inhoud en selecteert u About Adobe (or Macromedia) Flash Player in het menu. Als u meerdere browsers gebruikt, verricht u deze controle voor elke browser die u op uw systeem hebt geïnstalleerd.
Adobe raadt alle gebruikers van Adobe Flash Player 9.0.45.0 en eerdere versies aan een upgrade uit te voeren naar de nieuwste versie 9.0.47.0 (Win, Mac, Solaris) of 9.0.48.0 (Linux) door deze te downloaden vanaf het Player Download Center of door het mechanisme voor automatische updates in het product te gebruiken wanneer hierover een melding verschijnt.
Voor klanten die niet kunnen upgraden naar Adobe Flash Player 9, heeft Adobe een patchversie van Flash Player 7 ontwikkeld. Raadpleeg hiervoor het technische artikel over de Flash Player-update.
Adobe categoriseert dit als een kritiek probleem en raadt betrokken gebruikers aan om een upgrade uit te voeren naar versie 9.0.47.0 (Win, Mac, Solaris) of 9.0.48.0 (Linux).
In Flash Player 9.0.45.0 en eerdere versies is een invoervalideringsfout geïdentificeerd die zou kunnen leiden tot de mogelijke uitvoering van arbitraire code. Deze kwetsbaarheid is toegankelijk via inhoud die vanaf een externe locatie is geleverd via de webbrowser, de e-mailclient of andere toepassingen die Flash Player bevatten of ernaar verwijzen. (CVE-2007-3456)
Er is een probleem met ontoereikende validering van de HTTP Referer geïdentificeerd in Flash Player 8.0.34.0 en eerder. Dit probleem is niet van toepassing op Flash Player 9. Dit probleem zou een aanvaller kunnen helpen bij het uitvoeren van een aanval waarbij een HTTP-verzoek wordt vervalst via scripts die naar andere sites verwijzen (CSRF-aanval). (CVE-2007-3457)
De Linux- en Solaris-updates voor Flash Player 7 (7.0.70.0) verhelpen de problemen met Flash Player en de Opera- en Konqueror-browser die worden beschreven in beveiligingsadvies APSA07-03. Deze problemen zijn niet van toepasing op Flash Player 9 op Linux of Solaris. (CVE-2007-2022)
| Betrokken software: | Aanbevolen Player-update | Beschikbaarheid |
|---|---|---|
| Flash Player 9.0.45.0 en eerder | 9.0.47.0 | Player Download Center |
| Flash Player 9.0.45.0 en eerder netwerkdistributie | 9.0.47.0 | Player-licenties |
| Flash Player 9.0.45.0 en eerder voor Linux | 9.0.48.0 | Player Download Center |
| Flash CS3 Professional | 9.0.47.0 | Flash Player 9-update voor Flash CS3 Professional |
| Flash Professional 8, Flash Basic | 8.0.35.0 | Flash Player 8-update voor Flash Professional 8 en Flash Basic 8 |
| Flex 2.0 | 9.0.47.0 | Flash Debug Player Updater |
Adobe dankt Stefano DiPaola, Elia Florio en Giorgio Fedon voor het melden van de invoervalideringsfout (CVE-2007-3456) en voor hun samenwerking met ons om de veiligheid van onze klanten te helpen beschermen.
Adobe dankt Daiki Fukumori van Secure Sky Technology, Inc. voor het melden van het HTTP Referer-kwetsbaarheidsprobleem (CVE-2007-3457) en voor zijn samenwerking met ons om de veiligheid van onze klanten te helpen beschermen.
Adobe dankt Mark Hills voor het melden van de problemen met Flash Player en de Opera- en Konqueror-browser die eerder werden beschreven in beveiligingsadvies APSA07-03 (CVE-2007-2022) en voor zijn samenwerking met Opera om de veiligheid van onze gemeenschappelijke klanten te helpen beschermen.
10 juli 2007 — beveiligingsbulletin gemaakt.
Door het gebruik van software van Adobe Systems Incorporated of haar dochterondernemingen ("Adobe"), stemt u in met de volgende bepalingen en voorwaarden. Als u niet instemt met deze bepalingen en voorwaarden, gebruikt u de software niet. De bepalingen van een licentieovereenkomst voor eindgebruikers die bij de installatie of download van een bepaald softwarebestand hoort, hebben prioriteit over de hieronder vermelde bepalingen.
De export en herexport van Adobe-softwareproducten wordt beheerst door de Export Administration-regelgeving van de Verenigde Staten en dergelijke software mag niet worden geëxporteerd of geherexporteerd naar Cuba; Iran; Irak; Libië; Noord-Korea; Soedan of Syrië of elk ander land waarvoor door de Verenigde Staten een embargo is ingesteld. Daarnaast mag Adobe-software niet worden gedistribueerd aan personen die in de Table of Denial Orders, de Entity List of de lijst Specially Designated Nationals zijn opgenomen.
Door een Adobe software-product te downloaden of te gebruiken, geeft u te kennen dat u geen staatsburger bent van Cuba; Iran; Irak; Libië; Noord-Korea; Soedan of Syrië of van elk land waarvoor door de Verenigde Staten een embargo is ingesteld en dat u niet op de Table of Denial Orders, de Entity List of de lijst Specially Designated Nationals bent vermeld.
Als de software bestemd is voor gebruik met een softwaretoepassing (de "hosttoepassing") die door Adobe is gepubliceerd, verleent Adobe u een niet-exclusieve licentie voor het exlusieve gebruik van dergelijke software met de Hosttoepassing; op voorwaarde dat u beschikt over een geldige licentie van Adobe voor de Hosttoepassing. Met uitzondering van wat hieronder is vermeld; wordt de software aan u in licentie gegeven in overeenkomst met de bepalingen en voorwaarden van de licentiovereenkomst voor eindgebruikers van Adobe die heerst over uw gebruik van de Hosttoepassing.
BEPERKING VAN GARANTIES: U STEMT ERMEE IN DAT ADOBE U GEEN UITDRUKKELIJKE GARANTIE HEEFT GEBODEN MET BETREKKING TOT DE SOFTWARE EN DAT DE SOFTWARE ONGEWIJZIGD ("AS IS") AAN U WORDT GELEVERD ZONDER ENIGE GARANTIE. ADOBE VERLEENT GEEN ENKELE GARANTIE MET BETREKKING TOT DE SOFTWARE; UITDRUKKELIJK NOCH IMPLICIET; MET INBEGRIP VAN, MAAR NIET BEPERKT TOT, ENIGE IMPLICIETE GARANTIE BETREFFENDE DE GESCHIKTHEID VOOR EEN BEPAALD DOEL; DE VERKOOPBAARHEID; DE VERKOOPWAARDE OF HET NIET-INBREUKMAKENDE KARAKTER VAN DE SOFTWARE. In sommige staten of rechtsgebieden is het uitsluiten van impliciete garanties niet toegestaan. Hierdoor is het mogelijk dat de hiervoor vermelde beperkingen niet op u van toepassing zijn.
AANSPRAKELIJKHEIDSBEPERKING: ADOBE IS IN GEEN GEVAL AANSPRAKELIJK JEGENS U VOOR ENIGE VORM VAN VERLIES VAN GEBRUIK, BEDRIJFSONDERBREKINGEN, OF ENIGE ANDERE DIRECTE, INDIRECTE, SPECIALE, INCIDENTELE, OF GEVOLGSCHADE (MET INBEGRIP VAN WINSTDERVING) ONGEACHT DE VORM VAN DE RECHTSVORDERING, ONRECHTMATIG, NOCH CONTRACTUEEL (MET INBEGRIP VAN NALATIGHEID), RISICOAANSPRAKELIJKHEID OF ANDERSZINS; ZELFS INDIEN ADOBE OP DE HOOGTE IS GESTELD VAN DE MOGELIJKHEID VAN DERGELIJKE SCHADE. Aangezien in bepaalde staten of rechtsgebieden het uitsluiten of beperken van incidentele of gevolgschade niet is toegestaan, is het mogelijk dat deze beperking of uitsluiting niet op u van toepassing is.
