盘古实验室报告四个Flash安全漏洞获Adobe致谢

Flash

5月12日,全球软件巨头Adobe发布安全更新APSB16-15,修复了Adobe Flash Player中的多处安全漏洞,Adobe官网同时发布公告致谢发现并报告这些漏洞的安全研究人员,盘古实验室的研究员获得了4个致谢

CVE编号是CVE-2016-1097,CVE-2016-1098, CVE-2016-1099, CVE-2016-1100。

CVE-2016-1098, CVE-2016-1099, CVE-2016-1100

Flash 21后, OpportunityGenerator、Metadata、ContentFactory类的成员函数对输入变量类型存在验证不足的问题,导致了多个安全漏洞。此次修复后,成员函数对输入变量类型进行了更为严格的限制,不恰当的输入在AS3层就会拦截报错。

CVE-2016-1097

Flash 21中PSDK类未加验证地暴露了其析构函数,AS3层就可以直接清空对象内存,导致释放后利用。

Adobe官网链接

https://helpx.adobe.com/security/products/flash-player/apsb16-15.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注