... そして残念なことに、まだ多くのことが望まれています。 多くの人は、ZDI からの開示に、この問題で何が悪用された可能性があるかについて多くの詳細が含まれていることを期待していたと思いますが、残念ながら詳細は実際にはありません。
... そして残念なことに、まだ多くのことが望まれています。 多くの人は、ZDI からの開示に、この問題で何が悪用された可能性があるかについて多くの詳細が含まれていることを期待していたと思いますが、残念ながら詳細は実際にはありません。 実際、読んだ後、答えよりも疑問の方が多いと思います。
現在、脆弱な機能がわかっており、攻撃者がこの問題を悪用しようとして何を行う可能性があるかもわかっているため、あらゆる脆弱性の研究者が調査を開始しています。 概念実証の作成に挑戦したいと考えている人には少なくとも出発点はありますが、このアドバイスでは読者に多くのことが委ねられていました。 想像。
以前の詳細ではクロスプラットフォームの欠陥であることが明らかに示されていたにもかかわらず、Adobe Flash のこの脆弱性が *Nix または Mac で悪用可能かどうかについて ZDI は言及していません。 ZDI アドバイザリは以下のとおりです。
ZDI-08-021: Adobe Flash Player DeclareFunction2 の無効なオブジェクト使用の脆弱性。
http://www.zerodayinitiative.com/advisories/ZDI-08-021 2008 年 4 月 8 日。
-- CVE ID: CVE-2007-6019。
-- 影響を受けるベンダー: Adobe。
-- 影響を受ける製品: Adobe Flash Player。
-- 脆弱性の詳細: この脆弱性により、リモート攻撃者は Adobe の Flash Player の脆弱なインストール上でコードを実行できます。 ユーザーは悪意のある Web サイトにアクセスする必要があるため、ユーザーの操作が必要です。
この特定の欠陥は、Flash プレーヤーが適切にインスタンス化されていない埋め込み Actionscript オブジェクトにアクセスしようとするときに存在します。
悪用が行われるためには、攻撃者は SWF ファイル内の DeclareFunction2 Actionscript タグを変更する必要があります。 この脆弱性が悪用されると、現在ログインしているユーザーのコンテキストで任意のコードが実行される可能性があります。
-- ベンダーの対応: アドビは、この脆弱性を修正するアップデートを発行しました。 もっと。 詳細は次の場所で確認できます。
http://www.adobe.com/support/security/bulletins/apsb08-11.html
-- 公開スケジュール: 2008-02-07 - 脆弱性がベンダーに報告されました。 2008-04-08 - アドバイザリーの一般公開を調整しました。
-- クレジット: この脆弱性は次の人物によって発見されました: * Javier Vicente Vallejo。 * シェーン・マコーレー CanSecWest 2007 PWN2OWN 優勝者。
-- ゼロデイ イニシアチブ (ZDI) について: TippingPoint によって設立され、ゼロデイ イニシアチブ (ZDI) は 発見された情報を責任を持って開示したセキュリティ研究者に報酬を与えるための最良のモデル 脆弱性。
ZDI を通じてセキュリティ研究に対する報酬を得ることに興味のある研究者は、次の URL で詳細情報を見つけてサインアップできます。 http://www.zerodayinitiative.com
-ネイト。