Adobe Flash Player 11.1.111.19/11.1.115.20/11.2.202.243/11.4.402.287 memory corruption
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 8.7 | $0-$5k | 0.00 |
Podatność, która została odkryta w Adobe Flash Player 11.1.111.19/11.1.115.20/11.2.202.243/11.4.402.287 (Multimedia Player Software). Podatnością dotknięta jest nieznana funkcja w komponencie Flash Player. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Wpływa to na poufność, spójność i dostępność.
Informacja o podatności została podana do publicznej wiadomości w dniu 2012-11-06 przez osobę/y Matthew Jurczyk, Gynvael Coldwind i Fermin Serna z firmy Google Security Team jako APSB12-24 w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem adobe.com. Publikacja informacji została przeprowadzona we współpracy z producentem. Podatność ta jest znana jako CVE-2012-5277. Luka uchodzi za ciężką do wykorzystania. Atak może zostać zainicjowany zdalnie. Do eksploitacji nie potrzeba żadnej formy uwierzytelnienia. Szczegóły techniczne są nieznane, ale prywatny exploit jest dostępny.
Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 62835 (Adobe AIR 3.x <= 3.4.0.2710 Multiple Vulnerabilities (APSB12-24)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 11.5.502.110 (Win, Mac), 11.2.202.251 (Linux), 11.1.115.27 lub 11.1.111.24 (Android) eliminuje tę podatność. Aktualizacja jest dostępna pod adresem adobe.com. Problem może zostać wyeliminowany poprzez zamianę produktu na Microsoft Silverlight, Java o Javascript, jako rozwiązanie alternatywne. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności X-Force (79848) i Tenable (62835).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
Wsparcie
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 10.0VulDB Wynik metatemperatury: 8.7
VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 8.7
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przepełnienie buforaCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Prywatny
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 62835
Nessus Imię: Adobe AIR 3.x <= 3.4.0.2710 Multiple Vulnerabilities (APSB12-24)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
OpenVAS ID: 72608
OpenVAS Imię: FreeBSD Ports: linux-f10-flashplugin
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Imię: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Upgrade: Flash Player 11.5.502.110 (Win/Mac), 11.2.202.251 (Linux), 11.1.115.27/11.1.111.24 (Android)
Alternative: Microsoft Silverlight/Java/Javascript
Oś czasu
2012-10-04 🔍2012-11-06 🔍
2012-11-06 🔍
2012-11-06 🔍
2012-11-06 🔍
2012-11-06 🔍
2012-11-07 🔍
2012-11-07 🔍
2012-11-07 🔍
2012-11-07 🔍
2021-04-18 🔍
Źródła
Sprzedawca: adobe.comRaport: APSB12-24
Badacz: Matthew Jurczyk, Gynvael Coldwind, Fermin Serna
Organizacja: Google Security Team
Status: Potwierdzone
Potwierdzenie: 🔍
Koordynowane: 🔍
CVE: CVE-2012-5277 (🔍)
OVAL: 🔍
X-Force: 79848 - Adobe Flash Player buffer overflow, High Risk
SecurityTracker: 1027730 - Adobe Flash Player Buffer Overflows and Memory Corruption Errors Let Remote Users Execute Arbitrary Code
Vulnerability Center: 37017 - [APSB12-24] Adobe Flash Player and AIR Unspecified Buffer Overflow Vulnerability - CVE-2012-5277, Critical
SecurityFocus: 56545 - Adobe Flash Player and AIR CVE-2012-5277 Buffer Overflow Vulnerability
Secunia: 51186 - Red Hat update flash-plugin, Highly Critical
OSVDB: 87065
scip Labs: https://www.scip.ch/en/?labs.20161013
Wpis
Stworzono: 2012-11-07 09:56Aktualizacje: 2021-04-18 18:20
Zmiany: 2012-11-07 09:56 (96), 2017-04-20 14:18 (2), 2021-04-18 18:20 (2)
Kompletny: 🔍
Cache ID: 18:558:103
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.