低危 Adobe Flash Player内存错误引用远程代码执行漏洞

CVE编号

CVE-2014-0506

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-03-27

漏洞描述

Adobe Flash Player是一款Flash文件处理程序。 Adobe Flash Player存在未明释放后使用漏洞，允许远程攻击者利用漏洞构建恶意WEB页，诱使用户解析，可使应用程序崩溃或执行任意代码。 Pwn2Own 2014黑客大赛上VUPEN Security利用了该漏洞，目前没有详细漏洞细节提供。

解决建议

目前没有详细解决方案提供：http://www.adobe.com

参考链接
http://helpx.adobe.com/security/products/flash-player/apsb14-09.html
http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00012.html
http://lists.opensuse.org/opensuse-updates/2014-04/msg00036.html
http://lists.opensuse.org/opensuse-updates/2014-04/msg00050.html
http://rhn.redhat.com/errata/RHSA-2014-0380.html
http://security.gentoo.org/glsa/glsa-201405-04.xml
http://twitter.com/thezdi/statuses/443886338077495296
http://www.pwn2own.com/2014/03/pwn2own-results-for-wednesday-day-one/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	adobe	flash_player	12.0.0.77	-
	运行在以下环境
	系统	redhat_6	flash-plugin	*		Up to (excluding) 0:11.2.202.350-1.el6
	运行在以下环境
	系统	suse_11_SP3	flash-player	*		Up to (excluding) 11.2.202.418-0.3.1
	运行在以下环境
	系统	suse_12	flash-player	*		Up to (excluding) 11.2.202.406-1

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
CWE-399	资源管理错误

Exp相关链接

- avd.aliyun.com