Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1505

[GNU/Linux/Flash Player] Schwachstelle im Flash Player für Linux
(2008-12-18 09:47:02.035386+00)

Quelle: http://www.adobe.com/support/security/bulletins/apsb08-24.html

Eine Schwachstelle im Flash Player der Versionen 9.0.151.0 und 10.0.12.36 für GNU/Linux kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Flash Players auszuführen.

Inhalt

Zusammenfassung

Betroffen: Flash Player für Linux
Einfallstor: SWF-Datei
Angriffsvoraussetzung:Benutzerinteraktion
Angriffsvektorklasse: remote
Auswirkung: user compromise
Typ: unknown
Gefahrenpotential: hoch
Workaround: ja
Gegenmaßnahmen: neue Version
Vulnerability ID: CVE-2008-5499, APSB08-24

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle im Flash Player der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Flash Players auszuführen. Dies sind im Allgemeinen die Privilegien des Benutzers oder der Applikation (meist ein Browser), die den Player gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer dem Opfer eine entsprechend präparierte SWF-Datei zuleitet, die dieser in einem verwundbaren Player ansehen muss. Da viele Webseiten teilweise oder vollständig auf Flash-Animationen basieren, ist es üblich, dass Browser so konfiguriert sind, dass entsprechende Teile der Webseite ohne weitere Nachfrage im Browser gestartet werden. In einem solchen Fall ist es ausreichend, wenn der Benutzer eine Webseite aufruft, die eine entsprechende SWF-Datei bereithält.

Workaround

Gegenmaßnahmen

Vulnerability ID

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1505