Use-after-free vulnerability in the DisplayObject class in the ActionScript 3 (AS3) implementation in Adobe Flash Player 13.x through 13.0.0.302 on Windows and OS X, 14.x through 18.0.0.203 on Windows and OS X, 11.x through 11.2.202.481 on Linux, and 12.x through 18.0.0.204 on Linux Chrome installations allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted Flash content that leverages improper handling of the opaqueBackground property, as exploited in the wild in July 2015.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAdobe Flash Player
APPAdobe13.0 – 13.0.0.30218.0 – 18.0.0.20318.0 – 18.0.0.20411.0 – 11.2.202.481Adobe Flash Player Desktop Runtime
APPAdobe18.0 – 18.0.0.203Apple macOS
OSApplewszystkie wersjeLinux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersjeMicrosoft Windows 8
OSMicrosoftwszystkie wersjeMicrosoft Windows 8.1
OSMicrosoftwszystkie wersjeOpensuse Evergreen
OSOpensuse11.4Red Hat Enterprise Linux Desktop
OSRedhat5.06.0Red Hat Enterprise Linux Server
OSRedhat5.06.0Red Hat Enterprise Linux Server Eus
OSRedhat6.6Red Hat Enterprise Linux Workstation
OSRedhat5.06.0SUSE Linux Enterprise Desktop
OSSuse1112SUSE Linux Enterprise Workstation Extension
OSSuse12
CISA KEV — szczegółyi
- Dostawcai
- Adobe ↗
- Produkti
- Flash Player
- Data dodania do KEVi
- 13 kwietnia 2022
- Termin remediation (USA)i
- 4 maja 2022(po terminie)
Produkt, którego dotyczy problem, osiągnął koniec cyklu życia i powinien zostać odłączony, jeśli jest jeszcze w użyciu.
▸ Pokaż oryginał (EN)
The impacted product is end-of-life and should be disconnected if still in use.
Luka use-after-free w klasie DisplayObject w implementacji ActionScript 3 (AS3) w Adobe Flash Player pozwala zdalnym atakującym na wykonanie kodu lub spowodowanie odmowy usługi (DoS).
▸ Pokaż oryginał (EN)
Use-after-free vulnerability in the DisplayObject class in the ActionScript 3 (AS3) implementation in Adobe Flash Player allows remote attackers to execute code or cause a denial-of-service (DoS).
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP