安全研究

紧急通告
绿盟科技紧急通告(Alert2011-02)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Adobe Flash Player对象处理远程代码执行漏洞

发布日期:2011-04-18

CVE ID:CVE-2011-0611

受影响的软件及系统:
====================
Adobe Flash Player 10.2.153.1 for Windows、Macintosh、Linux、Solaris 及之前版本
Adobe Flash Player 10.2.154.25 for Chrome 及之前版本
Adobe Flash Player 10.2.156.12 for Android 及之前版本
Adobe Reader 和 Acrobat X (10.0.2) 及之前版本
Adobe AIR 2.6.19120 及之前版本

综述:
======
Adobe Flash Player在对象类型的处理上存在漏洞,远程攻击者可以利用此漏洞通过诱使用户访问包含恶意SWF文件的网页在用户系统上执行任意指令,从而完全控制受影响的系统。此漏洞可被用于执行挂马攻击,影响面和威胁程度都很高,需要引起用户高度重视。

此漏洞是一个0day漏洞,最初通过在DOC文件中嵌入恶意SWF文件的方式执行针对性的攻击,随着技术细节的扩散很有可能被用来执行大规模的挂马攻击。Adobe已经得知了此漏洞的存在并提供了安全补丁,强烈用户立即更新Adobe Flash Player以免受此漏洞的影响。

分析:
======
Adobe Flash Player的某个对象方法在被引用时没有正确识别对象的类型,漏洞的触发导致执行攻击者可控地址的恶意指令,通过精心构造内存中的数据结合Heap Spray等技术可以利用此漏洞执行任意指令。

此漏洞可以实现稳定的触发和利用,目前技术细节已经完全公开并被用于木马生成器,很有可能被用来大规模进行挂马攻击。

解决方法:
==========
如果暂时无法安装漏洞相应的补丁,建议用户可以采用以下的临时解决方案来尽可能减少漏洞的影响:

* 不要打开所有来源不明的Office文档,特别是Word和Excel文件。

* 使用微软提供的增强缓解体验工具包(EMET),把攻击者可能利用来作为攻击途径的应用程序,如IE、Word、Excel,加入保护。虽然不能阻止漏洞的触发,但是可以很大程度上阻止漏洞的利用。

  增强缓解体验工具包(EMET)是一个实用工具,用于防止软件中的漏洞被成功利用。

  从如下网址下载增强缓解体验工具包:
  http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409
  
  安装以后运行,在界面中点击“Configure Apps”,在对话框中点击“Add”,浏览到IE所在的安装目录(通常是c:\program files\Internet Explorer\)选择iexplore.exe,点击“打开”,IE就被加入到受保护项目列表中,点击“OK”,如果有IE正在运行的话需要重启一下应用。类似的操作把其他的应用程序加入保护。

厂商状态:
==========
Adobe已经针对此漏洞发布了安全公告(APSB11-07)和软件更新,建议用户立即升级到最新的Flash版本以消除此漏洞的威胁:

http://www.adobe.com/support/security/advisories/apsa11-02.html
http://get.adobe.com/cn/flashplayer/

附加信息:
==========
http://secunia.com/blog/210/
http://www.nsfocus.net/index.php?act=alert&do=view&aid=119

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技