Macromedia Flash Player远程可访问本地文件漏洞

漏洞信息详情

Macromedia Flash Player远程可访问本地文件漏洞

• CNNVD编号：CNNVD-200304-133
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1467
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-08-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  macromedia
• 漏洞来源：
  jelmer※ jelmer@kup…

Macromedia Flash是一款设计用于增强WEB浏览和可使用户查看各种多媒体WEB内容的组件。Macromedia Flash Player用于播放Flash的软件。
Macromedia Flash Player在处理HTTP重定向时存在问题，远程攻击者可以利用这个漏洞读取目标用户本地系统文件内容。
Flash动画允许通过HTTP装载额外的文件。不过Flash Player在限制访问起源域之外的动画文件时，没有对HTTP重定向请求进行正确限制，恶意WEB用户可以构建一个HTTP重定向到本地系统文件，然后由动画自动装载，导致本地系统文件内容泄露。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Macromedia
———-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia Upgrade Flash 6.0.47.0

http://www.macromedia.com/shockwave/download/frameset.fhtml?P1_Prod_Version=ShockwaveFlash” target=”_blank”>
http://www.macromedia.com/shockwave/download/frameset.fhtml?P1_Prod_Version=ShockwaveFlash

来源: BID
名称: 5429
链接:http://www.securityfocus.com/bid/5429

来源: XF
名称: flash-same-domain-disclosure(9797)
链接:http://www.iss.net/security_center/static/9797.php

来源: BUGTRAQ
名称: 20020808 Macromedia Flash plugin can read local files
链接:http://online.securityfocus.com/archive/1/286625

来源: www.macromedia.com
链接:http://www.macromedia.com/v1/handlers/index.cfm?ID=23294