【聚杰网本地越权访问】Macromedia Flash ActiveX控件缓冲区溢出漏洞发布日期:2002-05-02
更新日期:2002-05-09
受影响系统:
Macromedia Flash 6.0不受影响系统:
Macromedia Flash 6.0.29描述:
BUGTRAQ ID: 4664
CVE(CAN) ID: CVE-2002-0605
Macromedia分发和维护一款FLASH播放器的ActiveX插件,设计工作于Micorsoft Internet Explorer,用于显示WEB中的FLASH对象。
Micorsoft IE中的FLASH ActiveX插件在参数处理中存在漏洞,可导致远程攻击者进行缓冲区溢出攻击。
Flash.ocx在对"movie"参数的边界处理不够充分正确,攻击者可以对"movie"参数提供超多字节的VALUE值,当用户浏览此恶意链接时,可导致用户端产生缓冲区溢出,精心构建VALUE值中的字符串,可使攻击者以浏览用户的权限在用户系统上执行任意指令。
<*来源:Marc Maiffret (marc@eeye.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-05/0012.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 不要用随意浏览不可信页面。
厂商补丁:
Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Macromedia Upgrade Flash Player ActiveX Control 6.0.29.0
http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash
