|
Flash的漏洞其实很多人习以为常了,因为早在2012-2014年,Java的漏洞“利用率”一直都是最高的,2015年则是Flash第一次“夺魁”,Java则几乎销声匿迹,位列第二第三的分别是IE浏览器、Windows操作系统。
一方面,Java 2014年迎来了大规模的安全更新,发现并利用漏洞变得十分困难,Adobe Flash则一如既往地漏洞百出,2015年更是曝出了超过300个,而之前几年一直在70个左右
Adobe于今日再次宣布了一个已被野外利用的Flash零日漏洞,这个严重漏洞的编号为CVE-2016-4117,影响21.0.0.226及更早版本的Flash Player,横跨Windows、Mac、Linux和Chrome OS平台。Adobe表示漏洞非常危险,允许攻击者以不安全的方式让Flash Player崩溃,然后接掌受害系统的控制权。
Adobe承诺在5月12号(周四)推出CVE-2016-4117的紧急补丁。尽管该公司并未提到具体的类别,但它看起来很像是远程代码执行(RCE)漏洞,大多数严重性Flash bug都是这种。
FireEye安全研究人员Genwei Jiang发现了这一漏洞,而Proofpoint安全研究人员也于上月发现了一个类似的Flash零日漏洞(此例中,攻击者利用它来散布Locky勒索软件家族)。
除了要为Flash零日漏洞推出补丁,Adobe还于今日宣布了针对另外两款产品的安全修复。
ColdFusion应用程序服务器平台修复了三个安全问题,分别是CVE-2016-1113、CVE-2016-1114和CVE-2016-1115。
此外,Adobe Acrobat & Reader收到了92个补丁,以解决各种类型的漏洞威胁,从内存执行(memory corruption)到“释放后使用”(use-after-free)不等。
Flash是由macromedia公司推出的交互式矢量图和Web动画的标准,由Adobe公司收购。做Flash动画的人被称之为闪客。网页设计者使用Flash创作出既漂亮又可改变尺寸的导航界面以及其他奇特的效果。Flash的前身是FutureWave公司的FutureSplash,是世界上第一个商用的二维矢量动画软件,用于设计和编辑Flash文档。
Adobe创建于1982年,是世界领先数字媒体和在线营销方案的供应商。公司总部位于美国加利福尼亚州圣何塞,在世界各地员工人数约7000名。
|
