Adobe Shockwave Player Xtras安装未提示漏洞

发布日期：2012-12-17
更新日期：2012-12-19受影响系统：
Adobe Shockwave Player <= 11.5.7 .609
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 56972
CVE（CAN） ID: CVE-2012-6271Adobe Shockwave Player是播放使用Macromedia和Adobe Director制作的网页内容的软件。Shockwave Player可以作为IE的ActiveX控件和其他浏览器插件使用，可以“完全”和“精简”安装，“精简”安装时没有集成Xtras功能，在Shockwave视频试图使用Xtras时，会根据需要下载并安装Xtras，如果该Xtras已经经过Adobe或Macromedia签名，那么将会自动安装。由于Xtras的下载位置存储在Shockwave视频文件内可被攻击者控制，那么攻击者可诱使用户查看特制的Shockwave视频文件，在播放文件时利用此漏洞下载并安装在攻击者控制位置的有漏洞的Xtras版本，然后利用有漏洞版本的Xtras以当前用户权限执行任意代码。<*来源：Will Dormann

链接：http://www.eeye.com/resources/security-center/research/zero-day-tracker/2012/20121217
http://www.kb.cert.org/vuls/id/519137
*>建议：
--------------------------------------------------------------------------------
临时解决方法：* 限制访问Director文件；* 禁用IE内的Shockwave Player ActiveX控件；* 使用Microsoft Enhanced Mitigation Experience Toolkit* 在Microsoft Windows中启用DEP* 使用“完全”安装，而非“精简”安装Shockwave厂商补丁：Adobe
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.adobe.com/support/security/Linux Kernel Btrfs CRC32C功能安全绕过漏洞Adobe Shockwave Player降级安装漏洞相关资讯 Adobe安全漏洞

Adobe Shockwave Player降级安装漏（12/19/2012 14:17:43）

Adobe InDesign Server "RunScript （11/19/2012 19:14:49）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任