CVE-2017-3106

Опубликовано: 11 авг. 2017

Источник: nvd

CVSS3: 8.8

CVSS2: 9.3

EPSS Средний

Уязвимость путаницы типов в Adobe Flash Player при разборе SWF файлов, позволяющая выполнять произвольный код

Описание

В Adobe Flash Player обнаружена уязвимость путаницы типов (type confusion), которая возникает при разборе SWF файлов. Успешная эксплуатация этой уязвимости позволяет злоумышленнику выполнить произвольный код.

Затронутые версии ПО

Adobe Flash Player версии 26.0.0.137 и более ранние

Тип уязвимости

Путаница типов (type confusion)
Выполнение произвольного кода

Ссылки

http://www.securityfocus.com/bid/100190
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1039088
Broken Link
Third Party Advisory
VDB Entry
https://access.redhat.com/errata/RHSA-2017:2457
Third Party Advisory
https://helpx.adobe.com/security/products/flash-player/apsb17-23.html
Patch
Vendor Advisory
https://security.gentoo.org/glsa/201709-16
Third Party Advisory
https://www.exploit-db.com/exploits/42480/
Exploit
Third Party Advisory
VDB Entry
http://www.securityfocus.com/bid/100190
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1039088
Broken Link
Third Party Advisory
VDB Entry
https://access.redhat.com/errata/RHSA-2017:2457
Third Party Advisory
https://helpx.adobe.com/security/products/flash-player/apsb17-23.html
Patch
Vendor Advisory
https://security.gentoo.org/glsa/201709-16
Third Party Advisory
https://www.exploit-db.com/exploits/42480/
Exploit
Third Party Advisory
VDB Entry

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:a:adobe:flash_player_desktop_runtime:*:*:*:*:*:*:*:*

Версия до 26.0.0.137 (включая)

Одно из

cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:flash_player:*:*:*:*:*:edge:*:*

Версия до 26.0.0.137 (включая)

cpe:2.3:a:adobe:flash_player:*:*:*:*:*:internet_explorer:*:*

Версия до 26.0.0.137 (включая)

Одно из

cpe:2.3:o:microsoft:windows_10:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_8.1:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:a:adobe:flash_player:*:*:*:*:*:chrome:*:*

Версия до 26.0.0.137 (включая)

Одно из

cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*

cpe:2.3:o:google:chrome_os:-:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.53254

Средний

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-704

Связанные уязвимости

CVE-2017-3106

CVSS3: 8.8

ubuntu

больше 8 лет назад

Adobe Flash Player versions 26.0.0.137 and earlier have an exploitable type confusion vulnerability when parsing SWF files. Successful exploitation could lead to arbitrary code execution.

CVE-2017-3106

CVSS3: 8.8

redhat

больше 8 лет назад

Adobe Flash Player versions 26.0.0.137 and earlier have an exploitable type confusion vulnerability when parsing SWF files. Successful exploitation could lead to arbitrary code execution.

GHSA-fvch-gj67-rr73

CVSS3: 8.8

github

больше 3 лет назад

Adobe Flash Player versions 26.0.0.137 and earlier have an exploitable type confusion vulnerability when parsing SWF files. Successful exploitation could lead to arbitrary code execution.

ADV170010

msrc

больше 8 лет назад

August 2017 Adobe Flash Security Update

EPSS

Процентиль: 98%

0.53254

Средний

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-704