Adobe Shockwave Player降级安装漏洞

发布日期：2012-12-17
更新日期：2012-12-19受影响系统：
Adobe Shockwave Player <= 11.5.7 .609
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 56972
CVE（CAN） ID: CVE-2012-6270Adobe Shockwave Player是播放使用Macromedia和Adobe Director制作的网页内容的软件。Shockwave Player可能会自动安装旧版本的runtime，导致攻击者利用旧版本的漏洞执行远程攻击。当用户在浏览器内查看Shockwave内容时，Shockwave 11 ActiveX控件会被下载到<%System%>/Adobe/Shockwave 11文件夹。如果HTML页面没有指定下载版本为11，那么会默认下载Shockwave 10.4.0.025 ActiveX，并且安装在<%System%>/Macromed/Shockwave10文件夹。Shockwave自动更新机制仅安装11版本，如果用户要播放旧版本的内容，可以将兼容性参数设置为10或者空白即可下载Shockwave 10.4.0.025版本。这个设计会允许攻击者利用Shockwave 10 runtime里的漏洞，导致任意代码执行。<*来源：Will Dormann

链接：http://www.eeye.com/resources/security-center/research/zero-day-tracker/2012/20121217
http://www.kb.cert.org/vuls/id/546769
*>建议：
--------------------------------------------------------------------------------
临时解决方法：* 限制访问Director文件；* 禁用IE内的Shockwave Player ActiveX控件；* 使用Microsoft Enhanced Mitigation Experience Toolkit* 在Microsoft Windows中启用DEP* 使用“完全”安装，而非“精简”安装Shockwave厂商补丁：Adobe
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.adobe.com/support/security/Adobe Shockwave Player Xtras安装未提示漏洞IBM InfoSphere Information Server多个安全漏洞相关资讯 Adobe安全漏洞

Adobe Shockwave Player Xtras安装（12/19/2012 14:16:03）

Adobe InDesign Server "RunScript （11/19/2012 19:14:49）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论