Adobe Flash又曝新漏洞 可自動執行惡意代碼

近日Adobe在安全公告中宣布了Flahs的另一堆代碼執行漏洞，并且向24.0.0.186版用戶推送升級提醒，幫助用戶升級到更高版本解決。Adobe及其有安全漏洞的Flash播放器一直在持續執行多年前為web內容平臺設置的行為集。

 

Adobe給出的相關細節顯示，他們修復了三個免費使用版的漏洞、四個緩沖區溢出和五個內存損壞問題——所有這些都有可能導致惡意代碼被執行。這些漏洞能夠在Windows、macOS、Linux、和Chrome OS等操作系統上運行Flash時出現，目前相關用戶都會會收到更新提示，將原來的本的Flash更新到更高，請收到提示的國內用戶也盡快升級。

 

Google的Project Zero（谷歌的互聯網安全項目）向Adobe報告了五個問題；Microsoft Vulnerability Research（微軟的漏洞研究項目）提供了兩個錯誤報告；Chromium Vulnerability Rewards Program（谷歌的網絡安全隱患獎勵計劃項目）報告了三個問題；騰訊報告了一個問題。好在，最新版本的Flash修復了Adobe所描述的“可能導致信息泄露的安全性旁路漏洞”問題，這也是Project Zero的研究人員發現的。多年來，Flash已經是代碼執行漏洞的“慣犯”了。與過去的一些建議不同，Adobe沒有在其最新的升級中表示，它已經注意到了有任何漏洞被利用。

隨著近年來廣大用戶對滿是漏洞的Flash技術日益不滿，微軟將其在Edge瀏覽器中通過點擊運行Flash，其它瀏覽器的廠商也都陸續在支持此功能。此外目前業界也在嘗試用更新更成熟的HTML5播放器技術代替在網頁播放器中Flash的位置，不過這一進程還需要時間，目前我們只能繼續和Flash播放器再糾纏一段不斷的時間。