发布日期：2007-12-18
更新日期：2007-12-20

受影响系统：

Adobe Flash Player < 9.0.115.0
Adobe Flash Player < 9.0.115.0

不受影响系统：

Adobe Flash Player 9.0.115.0
Adobe Flash Player 9.0.115.0

描述：

---

BUGTRAQ  ID: 26949
CVE(CAN) ID: CVE-2007-6244

Flash Player是一款非常流行的FLASH播放器。

Flash Player ActiveX控件处理SWF的内嵌数据时存在漏洞，远程攻击者可能利用此漏洞诱使用户访问恶意网站。

Flash Player ActiveX控件在处理navigateToURL API时用到了两个参数：URL和将要导航到帧的名称。SWF电影可能传送其他域的JavaScript: URI和帧的名称，这样就可以在命名帧的安全环境而不是SWF电影或内嵌Flash网页的安全环境执行URL中的代码。

<*来源：Adam Barth
  
  链接：http://www.adobe.com/support/security/bulletins/apsb07-20.html
        http://crypto.stanford.edu/advisories/CVE-2007-6244/
        http://secunia.com/advisories/28161/
        https://www.redhat.com/support/errata/RHSA-2007-1126.html
*>

建议：

---

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player_9_linux.tar.gz

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2007:1126-01）以及相应补丁:
RHSA-2007:1126-01：Critical: flash-plugin security update
链接：https://www.redhat.com/support/errata/RHSA-2007-1126.html

浏览次数：2760
严重程度：0（网友投票）