Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1544

[MS/Adobe Shockwave Player] Schwachstelle im Adobe Shockwave Player
(2009-06-24 12:00:26.633703+00)

Quelle: http://www.adobe.com/support/security/bulletins/apsb09-08.html

Eine Pufferüberlaufschwachstelle im Adobe Shockwave Player auf Microsoft Windows Plattformen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Die Schwachstelle tritt bei der Verarbeitung ensprechend präparierter Shockwave Player 10 Daten, die z.B. in einer Webseite enthalten sein können auf.

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Bei der Verarbeitung von Shockwave 10 Daten durch eine verwundbare Version des Adobe Shockwave Players kann ein Pufferüberlauf auftreten. Ein Angreifer, der in der Lage ist, eine entsprechend präparierte Shockwave-Datei an einen Benutzer zu übermitteln und diesen dazu bringt, die Datei mit dem Player abzuspielen, kann darüber beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der den Player gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Die Schwachstelle tritt nur auf Microsoft Windows Plattformen auf.

Da viele Webangebote mittlerweile teilweise oder ganz auf Adobe Flash oder Shockwave basieren, und die entsprechenden Players als kostenloses Plug-in in Webbrowsern installiert werden können (was auch sehr verbreitet praktiziert wird), genügt bei einem entsprechend konfigurierten Browser das bloße Betrachten einer entsprechende Seite, um die Ausnutzung der Schwachstelle zu ermöglichen.

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1544