低危 Adobe Flash Player/AIR存在未明跨站脚本漏洞（CNVD-2014-03638）

CVE编号

CVE-2014-0531

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-06-11

漏洞描述

Adobe Flash Player是一款Flash文件处理程序。Adobe Air是一款Adobe公司出品的跨操作系统的运行时库。 Adobe Flash Player/AIR存在一个未明跨站脚本漏洞，允许远程攻击者可以利用漏洞构建恶意URI，诱使用户解析，可获得敏感Cookie，劫持会话或在客户端上进行恶意操作。

解决建议

Adobe Flash Player 14.0.0.125, 11.2.202.378和Adobe Air 14.0.0.110已经修复该漏洞，建议用户下载更新：http://www.adobe.com/

参考链接
http://helpx.adobe.com/security/products/flash-player/apsb14-16.html
http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00021.html
http://lists.opensuse.org/opensuse-updates/2014-06/msg00029.html
http://lists.opensuse.org/opensuse-updates/2014-06/msg00030.html
http://rhn.redhat.com/errata/RHSA-2014-0745.html
http://secunia.com/advisories/58390
http://secunia.com/advisories/58465
http://secunia.com/advisories/58585
http://secunia.com/advisories/59053
http://secunia.com/advisories/59304
http://security.gentoo.org/glsa/glsa-201406-17.xml
http://www.securityfocus.com/bid/67962
http://www.securitytracker.com/id/1030368

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	adobe	adobe_air	*		Up to (including) 13.0.0.111
	运行在以下环境
	应用	adobe	adobe_air	13.0.0.83	-
	运行在以下环境
	应用	adobe	adobe_air_sdk	*		Up to (including) 13.0.0.111
	运行在以下环境
	应用	adobe	adobe_air_sdk	13.0.0.83	-
	运行在以下环境
	应用	adobe	flash_player	*		Up to (including) 11.2.202.359
	运行在以下环境
	应用	adobe	flash_player	*		Up to (including) 13.0.0.214
	运行在以下环境
	应用	adobe	flash_player	11.2.202.223	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.228	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.233	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.235	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.236	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.238	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.243	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.251	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.258	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.261	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.262	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.270	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.273	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.275	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.280	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.285	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.291	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.297	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.310	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.332	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.335	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.336	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.341	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.346	-
	运行在以下环境
	应用	adobe	flash_player	11.2.202.350	-
	运行在以下环境
应用	adobe	flash_player	11.2.202.356	-
运行在以下环境
应用	adobe	flash_player	13.0.0.182	-
运行在以下环境
应用	adobe	flash_player	13.0.0.201	-
运行在以下环境
应用	adobe	flash_player	13.0.0.206	-
运行在以下环境
系统	apple	mac_os_x	*	-
运行在以下环境
系统	linux	linux_kernel	*	-
运行在以下环境
系统	microsoft	windows	*	-
运行在以下环境
系统	redhat_6	flash-plugin	*		Up to (excluding) 0:11.2.202.378-1.el5
运行在以下环境
系统	suse_11_SP3	flash-player	*		Up to (excluding) 11.2.202.418-0.3.1
运行在以下环境
系统	suse_12	flash-player	*		Up to (excluding) 11.2.202.406-1
运行在以下环境
系统	ubuntu_12.04.5_lts	adobe-flashplugin	*		Up to (excluding) 11.2.202.378-0precise1
运行在以下环境
系统	ubuntu_14.04	adobe-flashplugin	*		Up to (excluding) 11.2.202.378ubuntu0.14.04.1
运行在以下环境
系统	ubuntu_14.04.6_lts	adobe-flashplugin	*		Up to (excluding) 11.2.202.378-0trusty1

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com