Adobe Flash發(fā)布緊急更新修復(fù)零日漏洞
2014/5/5
Adobe今天緊急推出Flash播放器軟件更新,以應(yīng)對(duì)解以決一個(gè)已經(jīng)被攻擊者利用的關(guān)鍵漏洞。該漏洞被稱為cve - 2014 – 0515,存在緩沖區(qū)溢出的情況。
“Adobe發(fā)現(xiàn)了在Windows平臺(tái)上利用cve - 2014 – 0515攻擊Flash播放器目標(biāo)用戶的情況!盇dobe在其的警告中聲稱。
到目前為止,Windows用戶是確定會(huì)受影響的目標(biāo)人群,而受該漏洞影響的包括Microsoft Windows平臺(tái)上的Adobe Flash Player 13.0.0.182和早期版本、安裝在蘋果Macintosh OS X上的Adobe Flash Player 13.0.0.201和早期版本、一級(jí)Linux上的Adobe Flash Player 11.2.202.350和早期版本。
Adobe 的cve - 2014 - 0515的漏洞報(bào)告最初是由卡巴斯基實(shí)驗(yàn)室安全研究員Alexander Polyakov報(bào)告的?ò退够鶎(shí)驗(yàn)室發(fā)現(xiàn),在一個(gè)網(wǎng)站上,F(xiàn)lash漏洞已成為一個(gè)水坑式攻擊。在這個(gè)水坑式攻擊中,一個(gè)合法的網(wǎng)站被感染了惡意軟件,然后依次為不知情的游客提供了服務(wù)。據(jù)悉,被cve - 2014 – 0515漏洞利用的的水坑網(wǎng)站是由敘利亞司法部設(shè)立的。
到目前為止,卡巴斯基已檢測(cè)到的受該漏洞感染的案例已有30多個(gè),且所有的感染均發(fā)生在敘利亞,而所有的受感染用戶都是使用Mozilla Firefox瀏覽器。
而一個(gè)好消息是: Adobe Flash并不是直接集成到Firefox瀏覽器中的,而這卻是微軟Internet Explorer和Google Chrome所做到的。用瀏覽器集成閃存更新很可能意味著有更大的更新機(jī)會(huì):一個(gè)IE或Chrome瀏覽器的的用戶將有機(jī)會(huì)獲得一個(gè)完全更新的Flash版本,因?yàn)槠涓率鞘亲詣?dòng)包含在瀏覽器更新中的。然而卡巴斯基此次發(fā)現(xiàn)的并不是一個(gè)舊的、已經(jīng)修補(bǔ)的漏洞,而是一個(gè)新的、在任何平臺(tái)上都沒(méi)有修補(bǔ)的漏洞。
Google Chrome用戶將會(huì)自動(dòng)更新為最新的Adobe Flash Player,而微軟IE 10和IE 11用戶將通過(guò)微軟的更新服務(wù)得到最新的Adobe Flash Player版本。對(duì)于舊版本的IE瀏覽器、Mac OS X用戶和Mozilla Firefox用戶,則可以通過(guò)Flash播放器下載中心獲得最新更新。
“Adobe發(fā)現(xiàn)了在Windows平臺(tái)上利用cve - 2014 – 0515攻擊Flash播放器目標(biāo)用戶的情況!盇dobe在其的警告中聲稱。
到目前為止,Windows用戶是確定會(huì)受影響的目標(biāo)人群,而受該漏洞影響的包括Microsoft Windows平臺(tái)上的Adobe Flash Player 13.0.0.182和早期版本、安裝在蘋果Macintosh OS X上的Adobe Flash Player 13.0.0.201和早期版本、一級(jí)Linux上的Adobe Flash Player 11.2.202.350和早期版本。
Adobe 的cve - 2014 - 0515的漏洞報(bào)告最初是由卡巴斯基實(shí)驗(yàn)室安全研究員Alexander Polyakov報(bào)告的?ò退够鶎(shí)驗(yàn)室發(fā)現(xiàn),在一個(gè)網(wǎng)站上,F(xiàn)lash漏洞已成為一個(gè)水坑式攻擊。在這個(gè)水坑式攻擊中,一個(gè)合法的網(wǎng)站被感染了惡意軟件,然后依次為不知情的游客提供了服務(wù)。據(jù)悉,被cve - 2014 – 0515漏洞利用的的水坑網(wǎng)站是由敘利亞司法部設(shè)立的。
到目前為止,卡巴斯基已檢測(cè)到的受該漏洞感染的案例已有30多個(gè),且所有的感染均發(fā)生在敘利亞,而所有的受感染用戶都是使用Mozilla Firefox瀏覽器。
而一個(gè)好消息是: Adobe Flash并不是直接集成到Firefox瀏覽器中的,而這卻是微軟Internet Explorer和Google Chrome所做到的。用瀏覽器集成閃存更新很可能意味著有更大的更新機(jī)會(huì):一個(gè)IE或Chrome瀏覽器的的用戶將有機(jī)會(huì)獲得一個(gè)完全更新的Flash版本,因?yàn)槠涓率鞘亲詣?dòng)包含在瀏覽器更新中的。然而卡巴斯基此次發(fā)現(xiàn)的并不是一個(gè)舊的、已經(jīng)修補(bǔ)的漏洞,而是一個(gè)新的、在任何平臺(tái)上都沒(méi)有修補(bǔ)的漏洞。
Google Chrome用戶將會(huì)自動(dòng)更新為最新的Adobe Flash Player,而微軟IE 10和IE 11用戶將通過(guò)微軟的更新服務(wù)得到最新的Adobe Flash Player版本。對(duì)于舊版本的IE瀏覽器、Mac OS X用戶和Mozilla Firefox用戶,則可以通過(guò)Flash播放器下載中心獲得最新更新。
[向上]