发布日期:2012-12-17
更新日期:2012-12-19
受影响系统:
Adobe Shockwave Player <= 11.5.7 .609
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56972
CVE(CAN) ID: CVE-2012-6271
Adobe Shockwave Player是播放使用Macromedia和Adobe Director制作的网页内容的软件。
Shockwave Player可以作为IE的ActiveX控件和其他浏览器插件使用,可以“完全”和“精简”安装,“精简”安装时没有集成Xtras功能,在Shockwave视频试图使用Xtras时,会根据需要下载并安装Xtras,如果该Xtras已经经过Adobe或Macromedia签名,那么将会自动安装。由于Xtras的下载位置存储在Shockwave视频文件内可被攻击者控制,那么攻击者可诱使用户查看特制的Shockwave视频文件,在播放文件时利用此漏洞下载并安装在攻击者控制位置的有漏洞的Xtras版本,然后利用有漏洞版本的Xtras以当前用户权限执行任意代码。
<*来源:Will Dormann
链接:
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 限制访问Director文件;
* 禁用IE内的Shockwave Player ActiveX控件;
* 使用Microsoft Enhanced Mitigation Experience Toolkit
* 在Microsoft Windows中启用DEP
* 使用“完全”安装,而非“精简”安装Shockwave
厂商补丁:
Adobe
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: