Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Adobe Presenter viewer.swf et loadflash.js : Cross-Site Scripting

11/08/2008 19H48
Référence Secunia : SA31432 
Date de publication : 2008-08-11

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Adobe Presenter 6.x
Adobe Presenter 7.x

Référence CVE :
CVE-2008-3516


Description :
Quelques vulnérabilités ont été identifiées dans Adobe Presenter, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques cross-site scripting.

Une certaine entrée non spécifiée passée à viewer.swf et loadflash.js n'est pas correctement filtrée avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site affecté.

Les vulnérabilités sont rapportées en version 6.x et 7.x précédente à 7.0.1.


Solutions :
Adobe Presenter 7.x:
Mettre à jour en version 7.0.1. Mettre à jour all déployé instances of viewer.swf ou loadflash.js.

Adobe Presenter 6.x:
Migrate à la version 7.0.1. Regenerate et redeploy toutes les précédentes content généré avec Adobe Presenter 6.x.


Vulnérabilité découverte par :

L'éditeur crédite Adi Sharabani, Ayal Yogev, et Yuval Baror depuis IBM Rational Application Security et Tavis Ormandy du Google Security Team.

Référence :
http://www.adobe.com/support/security/bulletins/apsb08-17.html




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.