[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[MS] Schwachstelle im Macromedia Flash Player - MS06-069
-----BEGIN PGP SIGNED MESSAGE-----
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Microsoft Product Security
Notification Service. Wir geben diese Informationen unveraendert an Sie
weiter.
Der Macromedia Flash Player ist in den Betriebsystemen Microsoft Windows
XP Service Pack 2 und Microsoft Windows XP Professional x64 Edition per
Default als Plug-in fuer den Internet Explorer vorhanden.
CVE-2006-3311 / CVE-2006-3587 / CVE-2006-3588 - Schwachstelle im Adobe
Flash Player.
Im Adobe Flash Player, Flash MX 2004 und Flex 1.5 werden Inhalte in
SWF-Dateien nicht ausreichend ueberprueft, wodurch sich Buffer
Overflows ausloesen lassen.
Die Schwachstellen koennen zum Absturz des Programms fuehren oder im
schlimmsten Falle dazu verwendet werden beliebigen Code auf dem System
des Benutzers auszufuehren. Ein entfernter Angreifer kann die
Schwachstellen ausnutzen, indem er eine manipulierte SWF Datei z.B auf
einer Webseite zur verfuegung stellt
CVE-2006-3014 - Schwachstelle im Shockwave Flash Player ActiveX Objekt
Aufgrund einer Schwachstelle im Shockwave Flash Player ActiveX Objekt
kann Javascript-Code beim Oeffnen eines Excel Dokumentes ohne
Benutzerinteraktion direkt ausgefuehrt werden. Ein entfernter
Angreifer kann diese Schwachstelle mittels eines speziell
konstruierten Excel Dokumentes ausnutzen, um beliebigen
Javascript-Code mit den Rechten des Benutzers auszufuehren.
CVE-2006-4640 / VU#168372 - Umgehen von "allowScriptAccess" im Adobe
Flash-Player
Aufgrund einer nicht naeher beschriebenen Schwachstelle im Adobe
Flash-Player ist es Angreifern moeglich, die Option
"allowScriptAccess" zu umgehen und so beliebigen Scriptcode
auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Flash Player 8.0.24.0 und fruehere Versionen
Flash Professional 8, Flash Basic vor Version 8.0.33.0
Flash MX 2004 vor Version 7.0.68.0
Flex 1.5 vor Version 7.0.65.0
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Das DFN-CERT stellt einen FTP-Spiegel von Inhalten der Microsoft
FTP-Servers und der aktuellen Service-Packs und Patches fuer die
verschiedenen Windows Versionen und Produkte (32 und 64Bit, deutsch
und us-amerikanisch) bereit:
Microsoft Windows XP Service Pack 2 und
Microsoft Windows XP Professional x64 Edition
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/winxp/Security_Bulletins/WindowsXP-KB923789-x86-DEU.exe
ftp://ftp.cert.dfn.de/pub/vendor/microsoft/winxp/Security_Bulletins/WindowsXP-KB923789-x86-ENU.exe
Hersteller Advisory:
http://www.microsoft.com/technet/security/Bulletin/MS06-069.mspx
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Jan Kohlrausch (CSIRT), DFN-CERT Services GmbH
Web: https://www.dfn-cert.de/, Phone: +49-40-808077-555
PGP RSA/2048, A5DD03D1, A2 55 1C 51 0A 30 3E 78 5B 40 DA B7 14 F7 C9 E8
- -----BEGIN PGP SIGNED MESSAGE-----
__________________________________________________________
The U.S. Department of Energy
Computer Incident Advisory Capability
___ __ __ _ ___
/ | /_\ /
\___ __|__ / \ \___
__________________________________________________________
INFORMATION BULLETIN
Vulnerabilities in Macromedia Flash Player from Adobe
[Microsoft Security Bulletin MS06-069 (923789)]
November 14, 2006 18:00 GMT Number R-042
______________________________________________________________________________
PROBLEM: Several remote code execution vulnerabilities exist in
Macromedia Flash Player from Adobe because of the way that it
handles Flash Animation (SWF) files.
PLATFORM: Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
DAMAGE: An attacker who successfully exploited these vulnerabilities
could take complete control of an affected system.
SOLUTION: Apply current patches.
______________________________________________________________________________
VULNERABILITY The risk is HIGH. An attacker who successfully exploited these
ASSESSMENT: vulnerabilities could take complete control of an affected
system.
______________________________________________________________________________
LINKS:
CIAC BULLETIN: http://www.ciac.org/ciac/bulletins/r-042.shtml
ORIGINAL BULLETIN: http://www.microsoft.com/technet/security/Bulletin/MS06-069.mspx
CVE: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=
CVE-2006-3014, CVE-2006-3311, CVE-2006-3587, CVE-2006-3588,
CVE-2006-4640
______________________________________________________________________________
- -----BEGIN PGP SIGNATURE-----
Version: 4.0 Business Edition
iQCVAwUBRVoaaLnzJzdsy3QZAQFcEQQApsKL/WS5dpvztIvAuLhqbWIWooIQovw9
RhQiByxYcTSEp2vTQkH7rl7Bgisd5MBHlZhThFXonAWkEKBI77ziNl9EWm/yxAWb
1gykDyC/I1+R5X7P6IPiljuYl3p/uh4R0Oo+OEASrzQeR1tINmVuCxagBhQqSe1/
fTeeRUCau+g=
=Nztm
- -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBRVr36PBT2+ukQ5RFAQHEyQf9FlLuWZH6iL0+b/SupE3FjT4Tu+3jNZ9q
/juN3JWTDyx2MwHNBPKk1JaTo698nXYhYBzf9F9/7CSTrIiGcVeTEiEjQCAJtgaE
HMsNXr9kwHaGhx3SymyX2KtmG7L7Go2Xw4Ekqz6fFfPRLOLlu+GDWX+dGxYgYgKT
dLtEN+l8oTW3aoYLFx+CL3O1xBd696P4pmKJndjoYZC3uQtPD6bSWVoCvuRwgHfD
wHBlz3p2bNNEpRMvCdWcnSDwTqCIE4Ts6jI2rYuQd/QMTNycmshIDLTNCjQUPSID
dGfC1ChbxEIrEWdbNbiToItwN9WKjgSTvw0eT4e2mG8Kh28R1whZVg==
=MIMH
-----END PGP SIGNATURE-----