Хакер #305. Многошаговые SQL-инъекции
Программа: Adobe Flash Player 9.x
Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS атаку, обойти ограничения безопасности и выполнить произвольный код на целевой системе.
1) Уязвимость возникает из-за ошибки в проверке входных данных при обработке "Declare Function (V7)" тэгов. Атакующий может передать специально сформированные флаги, что приведет к выполнению произвольного кода.
2) Уязвимость возникает из-за ошибки в проверке входных данных при обработке мультимедийных файлов. Атакующий может передать специально сформированные файлы, что приведет к выполнению произвольного кода.
3) Уязвимость возникает из-за ошибки в разрешении имени компьютера hostname в IP адрес. Атакующий может выполнить атаки на DNS.
4) Уязвимость возникает из-за ошибки в отправке HTTP заголовков. Атакующий может обойти механизм междоменной политики безопасности.
5) Уязвимость возникает из-за ошибки в применении междоменной политики безопасности. Атакующий может обойти политики безопасности на Web серверах хранящих файлы междоменной политики безопасности.
6) Уязвимость возникает из-за ошибки в обработке параметров при использовании протокола "asfunction:". Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.