Julkaisupäivä: 21. huhtikuuta 2016

Haavoittuvuuden tunniste: APSB16-13

Prioriteetti: 2

CVE-numero: CVE-2016-1036

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Analyticsin AppMeasurement for Flash -kirjastoon. Päivitys ratkaisee AppMeasurement for Flash -kirjaston tärkeän haavoittuvuuden, jota hyödyntämällä voidaan tehdä DOM-pohjaisia sivustojen välisiä komentosarjahyökkäyksiä, kun debugTracking on käytössä.

Huomautus: tämä ongelma koskee AppMeasurement for Flashia vain, kun debugTracking on käytössä (debugTracking ei ole käytössä oletuskokoonpanossa).

Ohjelmistoversiot, joita haavoittuvuus koskee

Tuote Versiot
Adobe Analytics AppMeasurement for Flash Library 4.0 ja aiemmat versiot

Ratkaisu

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

Tuote Päivitetty versio Prioriteettiluokitus
Adobe Analytics AppMeasurement for Flash Library 4.0.1 2

Adobe suosittelee AppMeasurement for Flash -kirjastoa käyttäviä Analytics-asiakkaita kokoamaan projektit uudelleen käyttämällä Analytics Consolesta ladattavissa olevaa päivitettyä kirjastoa.  Lisätietoja on julkaisutiedoissa.

Lisätietoja haavoittuvuuksista

Päivitys ratkaisee Adobe Analyticsin AppMeasurement for Flash -kirjaston tärkeän haavoittuvuuden, jota hyödyntämällä voidaan tehdä DOM-pohjaisia sivustojen välisiä komentosarjahyökkäyksiä, kun debugTracking on käytössä (CVE-2016-1036).

Kiitokset

Adobe haluaa kiittää Randy Westergreniä (CVE-2016-1036) tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa.