Data wydania: 8 lutego 2011
Identyfikator luki: APSB01-11
Numer CVE: CVE-2010-2587, CVE-2010-2588, CVE-2010-2589, CVE-2010-4092,
CVE-2010-4093, CVE-2010-4187, CVE-2010-4188, CVE-2010-4189, CVE-2010-4190,
CVE-2010-4191, CVE-2010-4192, CVE-2010-4193, CVE-2010-4194, CVE-2010-4195,
CVE-2010-4196, CVE-2010-4306, CVE-2010-4307, CVE-2011-0555, CVE-2011-0556,
CVE-2011-0557, CVE-2011-0569
Platforma: Windows oraz Macintosh
W programie Adobe Shockwave Player 11.5.9.615 oraz jego starszych wersjach dla systemów Windows i Macintosh wykryto krytyczne
luki w zabezpieczeniach. Luki te mogą pozwolić osobie atakującej
na uruchomienie na systemach, których dotyczą,
złośliwego kodu. Firma Adobe zaleca użytkownikom programu Adobe Shockwave Player 11.5.9.615 oraz jego wcześniejszych wersji
dokonanie aktualizacji do wersji Adobe Shockwave Player 11.5.9.620 zgodnie z poniższymi instrukcjami.
Shockwave Player 11.5.9.615 i jego wcześniejsze wersje dla systemów Windows i Macintosh
Firma Adobe zaleca użytkownikom programu Adobe Shockwave Player 11.5.9.615 oraz jego wcześniejszych wersji dokonanie aktualizacji
do najnowszej wersji 11.5.9.620 dostępnej pod adresem: http://get.adobe.com/shockwave/.
Firma Adobe klasyfikuje tę aktualizację jako krytyczną i zaleca użytkownikom zastosowanie jej
do swoich instalacji produktów, postępując zgodnie z instrukcjami w sekcji „Rozwiązanie”.
W programie Adobe Shockwave Player 11.5.9.615 oraz jego starszych wersjach dla systemów Windows i Macintosh wykryto krytyczne
luki w zabezpieczeniach. Luki te mogą pozwolić osobie atakującej
na uruchomienie na systemach, których dotyczą,
złośliwego kodu. Firma Adobe zaleca użytkownikom programu Adobe Shockwave Player 11.5.9.615 oraz jego wcześniejszych wersji
dokonanie aktualizacji do wersji Adobe Shockwave Player 11.5.9.620 zgodnie z powyższymi instrukcjami.
Ta aktualizacja rozwiązuje problem dotyczący uszkodzenia pamięci w składniku dirapi.dll, który może spowodować
wykonanie kodu (CVE-2010-2587).
Ta aktualizacja rozwiązuje problem dotyczący uszkodzenia pamięci w składniku dirapi.dll, który może spowodować
wykonanie kodu (CVE-2010-2588).
Ta aktualizacja rozwiązuje problem przekroczenia zakresu liczb całkowitych w składniku dirapi.dll, który może spowodować
wykonanie kodu (CVE-2010-2589).
Ta aktualizacja rozwiązuje problem użycia zwolnionej pamięci, który może spowodować wykonanie kodu
(CVE-2010-4092).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2010-4093).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2010-4187).
Ta aktualizacja rozwiązuje problem dotyczący uszkodzenia pamięci w składniku dirapi.dll, który może spowodować
wykonanie kodu (CVE-2010-4188).
Ta aktualizacja rozwiązuje problem dotyczący uszkodzenia pamięci w module IML32, który może spowodować
wykonanie kodu (CVE-2010-4189).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2010-4190).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2010-4191).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2010-4192).
Ta aktualizacja rozwiązuje problem dotyczący funkcji sprawdzania danych wejściowych, który może spowodować wykonanie kodu
(CVE-2010-4193).
Ta aktualizacja rozwiązuje problem dotyczący sprawdzania danych wejściowych w składniku dirapi.dll, który może spowodować
wykonanie kodu (CVE-2010-4194).
Ta aktualizacja rozwiązuje problem dotyczący sprawdzania danych wejściowych w module TextXtra, który może spowodować
wykonanie kodu (CVE-2010-4195).
Ta aktualizacja rozwiązuje problem dotyczący sprawdzania danych wejściowych w module Shockwave 3d Asset, który może spowodować
wykonanie kodu (CVE-2010-4196).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2010-4306).
Ta aktualizacja rozwiązuje problem przepełnienia bufora, który może spowodować wykonanie kodu
(CVE-2010-4307).
Ta aktualizacja rozwiązuje problem uszkodzenia pamięci, który może spowodować wykonanie kodu
(CVE-2011-0555).
Ta aktualizacja rozwiązuje problem dotyczący uszkodzenia pamięci w module Font Xtra.x32, który może spowodować
wykonanie kodu (CVE-2011-0556).
Ta aktualizacja rozwiązuje problem przekroczenia zakresu liczb całkowitych, który może spowodować wykonanie kodu
(CVE-2011-0557).
Ta aktualizacja rozwiązuje problem dotyczący uszkodzenia pamięci w module Font Xtra.x32, który może spowodować
wykonanie kodu (CVE-2011-0569).
Firma Adobe pragnie podziękować następującym osobom i firmom za zgłoszenie problemów
oraz współpracę mającą na celu ochronę użytkowników:
• Carsten Eiram z firmy Secunia Research (CVE-2010-2587, CVE-2010-2588, CVE-2010-2589).
• Krystian Kloskowski (h07), współpracownik firmy Secunia Research (CVE-2010-4092).
• Will Dormann z firmy CERT/CC (CVE-2010-4093, CVE-2010-4193, CVE-2010-4194,
CVE-2010-4195, CVE-2010-4196).
• Andrzej Dyjak z firmy iDefense Labs (CVE-2010-4187).
• Aaron Portnoy i Logan Brown z firmy TippingPoint DVLabs (CVE-2010-4188).
• Logan Brown i Aaron Portnoy z firmy TippingPoint DVLabs(CVE-2011-0555,
CVE-2011-0556).
• Aaron Portnoy i Logan Brown z firmy TippingPoint DVLabs (CVE-2010-4189).
• Aniway i Luigi Auriemma za zgłoszenie problemu za pośrednictwem Zero Day Initiative firmy TippingPoint
(CVE-2010-4190).
• Anonimowemu użytkownikowi za zgłoszenie problemu za pośrednictwem Zero Day Initiative firmy TippingPoint (CVE-2010-4191).
• Aniway za zgłoszenie problemu za pośrednictwem Zero Day Initiative firmy TippingPoint (CVE-2010-4192).
• IBM X-Force (CVE-2010-4306, CVE-2010-4307).
• Anonimowemu użytkownikowi za zgłoszenie problemu za pośrednictwem Zero Day Initiative firmy TippingPoint (CVE-2011-0557).
• Logan Brown i Aaron Portnoy z firmy TippingPoint DVLabs oraz Luigi Auriemma za zgłoszenie problemu za pośrednictwem Zero Day Initiative
firmy TippingPoint (CVE-2011-0569).
