关键信息 漏洞名称: Adobe Flash Player - Remote Code Execution 编号: CT12-09-2006 严重性: Critical 影响: Remote System Access 解决状态: Vendor Patch CVE Reference: CVE-2006-3311 发布时间: 12th September 2006 影响软件 Adobe Flash Player 8.0.24.0 and earlier versions Adobe Flash Professional 8 Flash Basic Adobe Flash MX 2004 Adobe Flex 1.5 概述 Adobe Macromedia Flash Player 是一个广泛使用的浏览器插件,用于提供高质量的Web界面和互动在线广告。 它存在一个远程代码执行漏洞,通过简单地引入恶意Web页面,允许攻击者控制目标系统。 技术叙述 此漏洞源自Flash在运行时未能充分处理大型动态生成字符串,可以使用简单的ActionScript创建一个.swf文件,当插件处理此文件时,会覆盖系统内存。 利用 Computer Terrorism (UK) 可确认存在一个可靠的多平台多浏览器PoC,可以在Web基础上攻击。 厂商响应 厂商的安全公告和补丁可在:http://www.adobe.com/go/apsb06-11/ 披露分析 2006年5月12日 - 初始厂商通知 2006年5月18日 - 漏洞在Flash 9及早期版本中确认 2006年6月28日 - Flash Player 9发布(修复) 2006年7月31日 - 厂商发布公共披露 2006年9月12日 - 协调公开发布 修复时间 总修复时间:4个月(123天) 致谢 此漏洞由Stuart Pearson发现