发布日期：2008-11-06
更新日期：2008-11-07

受影响系统：

Adobe Flash Player 9.x
Adobe Flash Player 10.x

不受影响系统：

Adobe Flash Player 10.0.12.36

描述：

---

BUGTRAQ  ID: 32129
CVE(CAN) ID: CVE-2008-4818,CVE-2008-4819,CVE-2008-4820,CVE-2008-4821,CVE-2008-4822,CVE-2008-4823

Flash Player是一款非常流行的FLASH播放器。

Flash Player的9.x和10.x版本中存在多个安全漏洞，可能允许恶意用户绕过安全限制、操控数据、执行跨站脚本攻击或泄露敏感信息。

1) Flash Player解释HTTP响应头的方式可能导致跨站脚本攻击。

2) Flash Player中的错误可能导致DNS重新绑定攻击并破坏同源策略。

3) 在解释ActionScript属性时的错误可能导致注入任意HTML代码。

4) 在解释策略文件时的错误可能导致绕过非root域策略。

5) 在Mozilla浏览器中处理jar:协议时的错误可能导致泄露敏感信息。

6) Windows平台的Flash Player ActiveX控件可能导致泄露敏感信息。

<*来源：Collin Jackson （collinj@cs.stanford.edu）
        Stefano Di Paola （stefano@dipaola.wisec.it）
        Gregory Fleischer （gfleischer+bugzilla@gmail.com）
  
  链接：http://secunia.com/advisories/32270/
        http://www.adobe.com/support/security/bulletins/apsb08-20.html
*>

建议：

---

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player_10_linux.tar.gz

浏览次数：2944
严重程度：0（网友投票）