Adobe Flash又曝新漏洞 可自動執(zhí)行惡意代碼

近日Adobe在安全公告中宣布了Flahs的另一堆代碼執(zhí)行漏洞，并且向24.0.0.186版用戶推送升級提醒，幫助用戶升級到更高版本解決。Adobe及其有安全漏洞的Flash播放器一直在持續(xù)執(zhí)行多年前為web內(nèi)容平臺設(shè)置的行為集。

 

Adobe給出的相關(guān)細(xì)節(jié)顯示，他們修復(fù)了三個免費使用版的漏洞、四個緩沖區(qū)溢出和五個內(nèi)存損壞問題——所有這些都有可能導(dǎo)致惡意代碼被執(zhí)行。這些漏洞能夠在Windows、macOS、Linux、和Chrome OS等操作系統(tǒng)上運行Flash時出現(xiàn)，目前相關(guān)用戶都會會收到更新提示，將原來的本的Flash更新到更高，請收到提示的國內(nèi)用戶也盡快升級。

 

Google的Project Zero（谷歌的互聯(lián)網(wǎng)安全項目）向Adobe報告了五個問題；Microsoft Vulnerability Research（微軟的漏洞研究項目）提供了兩個錯誤報告；Chromium Vulnerability Rewards Program（谷歌的網(wǎng)絡(luò)安全隱患獎勵計劃項目）報告了三個問題；騰訊報告了一個問題。好在，最新版本的Flash修復(fù)了Adobe所描述的“可能導(dǎo)致信息泄露的安全性旁路漏洞”問題，這也是Project Zero的研究人員發(fā)現(xiàn)的。多年來，F(xiàn)lash已經(jīng)是代碼執(zhí)行漏洞的“慣犯”了。與過去的一些建議不同，Adobe沒有在其最新的升級中表示，它已經(jīng)注意到了有任何漏洞被利用。

隨著近年來廣大用戶對滿是漏洞的Flash技術(shù)日益不滿，微軟將其在Edge瀏覽器中通過點擊運行Flash，其它瀏覽器的廠商也都陸續(xù)在支持此功能。此外目前業(yè)界也在嘗試用更新更成熟的HTML5播放器技術(shù)代替在網(wǎng)頁播放器中Flash的位置，不過這一進(jìn)程還需要時間，目前我們只能繼續(xù)和Flash播放器再糾纏一段不斷的時間。