Уязвимость обхода механизма защиты ASLR в Adobe Flash Player, Adobe AIR, Adobe AIR SDK и Adobe AIR SDK & Compiler из-за некорректного ограничения на обнаружение адресов памяти
Описание
Некорректное ограничение на обнаружение адресов памяти в Adobe Flash Player, Adobe AIR, Adobe AIR SDK и Adobe AIR SDK & Compiler позволяет злоумышленникам обходить механизм защиты ASLR (Address Space Layout Randomization) с использованием неуказанных векторов. Данную уязвимость следует отличать от CVE-2015-3091.
Затронутые версии ПО
- Adobe Flash Player:
- Версии до 13.0.0.289 и 14.x до 17.x, но изначально до 17.0.0.188 на Windows и OS X
- Версии до 11.2.202.460 на Linux
- Adobe AIR: Версии до 17.0.0.172
- Adobe AIR SDK: Версии до 17.0.0.172
- Adobe AIR SDK & Compiler: Версии до 17.0.0.172
Тип уязвимости
Обход защитного механизма ASLR
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
Одно из
Одно из
Одновременно
EPSS
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Adobe Flash Player before 13.0.0.289 and 14.x through 17.x before 17.0.0.188 on Windows and OS X and before 11.2.202.460 on Linux, Adobe AIR before 17.0.0.172, Adobe AIR SDK before 17.0.0.172, and Adobe AIR SDK & Compiler before 17.0.0.172 do not properly restrict discovery of memory addresses, which allows attackers to bypass the ASLR protection mechanism via unspecified vectors, a different vulnerability than CVE-2015-3091.
Adobe Flash Player before 13.0.0.289 and 14.x through 17.x before 17.0.0.188 on Windows and OS X and before 11.2.202.460 on Linux, Adobe AIR before 17.0.0.172, Adobe AIR SDK before 17.0.0.172, and Adobe AIR SDK & Compiler before 17.0.0.172 do not properly restrict discovery of memory addresses, which allows attackers to bypass the ASLR protection mechanism via unspecified vectors, a different vulnerability than CVE-2015-3091.
Adobe Flash Player before 13.0.0.289 and 14.x through 17.x before 17.0.0.188 on Windows and OS X and before 11.2.202.460 on Linux, Adobe AIR before 17.0.0.172, Adobe AIR SDK before 17.0.0.172, and Adobe AIR SDK & Compiler before 17.0.0.172 do not properly restrict discovery of memory addresses, which allows attackers to bypass the ASLR protection mechanism via unspecified vectors, a different vulnerability than CVE-2015-3091.
EPSS
5 Medium
CVSS2