发布日期：2002-05-02
更新日期：2002-05-09

受影响系统：

Macromedia Flash 6.0

不受影响系统：

Macromedia Flash 6.0.29

描述：

---

BUGTRAQ  ID: 4664
CVE(CAN) ID: CVE-2002-0605

Macromedia分发和维护一款FLASH播放器的ActiveX插件，设计工作于Micorsoft Internet Explorer，用于显示WEB中的FLASH对象。

Micorsoft IE中的FLASH ActiveX插件在参数处理中存在漏洞，可导致远程攻击者进行缓冲区溢出攻击。

Flash.ocx在对"movie"参数的边界处理不够充分正确，攻击者可以对"movie"参数提供超多字节的VALUE值，当用户浏览此恶意链接时，可导致用户端产生缓冲区溢出，精心构建VALUE值中的字符串，可使攻击者以浏览用户的权限在用户系统上执行任意指令。

<*来源：Marc Maiffret （marc@eeye.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0012.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要用随意浏览不可信页面。

厂商补丁：

Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia Upgrade Flash Player ActiveX Control 6.0.29.0
http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash

浏览次数：2942
严重程度：0（网友投票）