CVE-2015-7658

Опубликовано: 11 нояб. 2015

Источник: nvd

CVSS2: 9.3

EPSS Низкий

Уязвимость типа "использование после освобождения" (use-after-free) в Adobe Flash Player и Adobe AIR, позволяющая выполнять произвольный код через модифицированные аргументы actionInstanceOf

Описание

Уязвимость типа "использование после освобождения" (use-after-free) была обнаружена в продуктах Adobe, таких как Flash Player и AIR, которая позволяет злоумышленникам выполнять произвольный код посредством модифицированных аргументов actionInstanceOf. Эта уязвимость отличается от уязвимостей, обозначенных как CVE-2015-7651, CVE-2015-7652, CVE-2015-7653, CVE-2015-7654, CVE-2015-7655, CVE-2015-7656, CVE-2015-7657, CVE-2015-7660, CVE-2015-7661, CVE-2015-7663, CVE-2015-8042, CVE-2015-8043, CVE-2015-8044 и CVE-2015-8046.

Затронутые версии ПО

Adobe Flash Player версий до 18.0.0.261 и 19.x версий до 19.0.0.245 на Windows и OS X
Adobe Flash Player версий до 11.2.202.548 на Linux
Adobe AIR версий до 19.0.0.241
Adobe AIR SDK версий до 19.0.0.241
Adobe AIR SDK & Compiler версий до 19.0.0.241

Тип уязвимости

Удалённое выполнение кода

Ссылки

CWE-416: Use After Free

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:a:adobe:air:*:*:*:*:*:*:*:*

Версия до 19.0.0.190 (включая)

cpe:2.3:o:google:android:*:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:a:adobe:air:*:*:*:*:*:*:*:*

Версия до 19.0.0.213 (включая)

Одно из

cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:air_sdk:*:*:*:*:*:*:*:*

Версия до 19.0.0.213 (включая)

cpe:2.3:a:adobe:air_sdk_\&_compiler:*:*:*:*:*:*:*:*

Версия до 19.0.0.213 (включая)

Одно из

cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*

cpe:2.3:o:google:android:*:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:*

Версия до 11.2.202.540 (включая)

cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

Одно из

cpe:2.3:a:adobe:flash_player:*:*:*:*:*:*:*:*

Версия до 18.0.0.255 (включая)

cpe:2.3:a:adobe:flash_player:19.0.0.185:*:*:*:*:*:*:*

cpe:2.3:a:adobe:flash_player:19.0.0.207:*:*:*:*:*:*:*

cpe:2.3:a:adobe:flash_player:19.0.0.226:*:*:*:*:*:*:*

Одно из

cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 90%

0.05831

Низкий

9.3 Critical

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

CVE-2015-7658

ubuntu

около 10 лет назад

Use-after-free vulnerability in Adobe Flash Player before 18.0.0.261 and 19.x before 19.0.0.245 on Windows and OS X and before 11.2.202.548 on Linux, Adobe AIR before 19.0.0.241, Adobe AIR SDK before 19.0.0.241, and Adobe AIR SDK & Compiler before 19.0.0.241 allows attackers to execute arbitrary code via crafted actionInstanceOf arguments, a different vulnerability than CVE-2015-7651, CVE-2015-7652, CVE-2015-7653, CVE-2015-7654, CVE-2015-7655, CVE-2015-7656, CVE-2015-7657, CVE-2015-7660, CVE-2015-7661, CVE-2015-7663, CVE-2015-8042, CVE-2015-8043, CVE-2015-8044, and CVE-2015-8046.