- A+
Adobe已修复两个在Adobe Flash里面的0day漏洞。
修复第一个0day漏洞
上周,公司宣布对Flash Player中的一个重要漏洞提供紧急更新。然而,这并非安全研究员Kafeine所报告的漏洞。Adobe关注的是另外一个0day漏洞,名为CVE-2015-0310,它被Angler恶意工具包所利用。
修复第二个0day漏洞
随后,Adobe发布了Flash Player更新版,修复了一个0day漏洞CVE-2015-0311,严重程度为“危险(critical)”,这个漏洞正是Kafeine所报告的。
Adobe在一个安全公告中表示,这一漏洞“正遭受路过式下载攻击,影响在Windows 8.1及以下版本上运行IE以及Firefox的系统。“该公司将漏洞等级定为“危险”,意味着“这个漏洞如果被攻击将允许恶意本地代码执行,而几乎不被用户所察觉。”
路过式下载攻击
在“路过式下载”攻击中,攻击者会在受害者不知情或者未得到受害者明确同意的情况下,将一个恶意软件下载到受害者的电脑上。这个漏洞允许攻击者远程控制受害者的Mac或者个人电脑。
根据Kafeine的测试,CVE-2015-0311影响所有Windows操作系统、IE以及Firefox中的所有Flash Player版本。然而,谷歌Chrome用户是安全的。
受影响的软件版本
为Windows及Mac提供服务的Adobe Flash Player 16.0.0.287 及更早版本
Adobe Flash Player 13.0.0.262及更早的13.x版本
Adobe Flash Player 11.2.202.438及更早的Linux版本
由于恶意攻击者对0day漏洞的利用呈活跃状态,Adobe公司督促用户尽早更新Flash Player软件。
“Adobe更新了安全公告并表示,”为Flash Player桌面运行时间启用自动更新的用户将会从1月24日起收到16.0.0.296版本。这一版本包含对CVE-2015-0311漏洞的修复。Adobe期望能够在1月26日这周为手动下载进行更新,我们正跟分发合作伙伴一起为谷歌Chrome、IE 10及IE 11提供更新。更多更新详情可见本博客。
尽管Adobe Flash Player软件中存在多个安全问题,但近年来公司依然在不断提升产品的安全性能,而且我们感到非常高兴公司能够在计划之外快速响应及管理并及时提供补丁。
