聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Adobe 公司十月补丁日仅发布了一个漏洞且为“严重”级别。Adobe 公司称,FlashPlayer 应用中存在一个因空解指针引用错误引发的严重漏洞 (CVE-2020-9746),影响Windows、macOS、Linux 和 ChromeOS操作系统。
该漏洞如遭成功利用,可导致可造利用的崩溃,从而导致在当前用户的上下文中执行任意代码。
Automox 公司的高级产品营销经理 NickColyer 表示,“对于Flash Player 漏洞而言,基于 Web 的利用是主要的利用矢量,但并非唯一矢量。攻击者也可通过微软 Office文档或使用 IE 渲染引擎的应用程序中的嵌入式 ActiveX 控制利用该漏洞。
该漏洞是由空解指针引用错误导致的。当程序试图通过一个空解指针读写内存时就会产生这种问题。运行包含空解指针引用的程序会立即生成分段错误。
受影响版本是Adobe FlashDesktop Runtime(Windows、macOS 和 Linux)版本 32.0.0.433 及之前版本以及Adobe Flash Player for Google Chrome(Windows、macOS、Linux 和 ChromeOS)、Adobe Flash Playerfor Microsoft Edge 和 IE11 (Windows 10 和8.1)。
版本32.0.0.445中已发布补丁,适用于所有受影响平台。Adobe 将补丁列为“优先级2“级别,意思是“所修复的漏洞位于风险提升的产品中”,不过实际上目前并不存在已知的 exploit。
Flash 是网络攻击者的最爱,尤其对于 exploit 包、0day 攻击和钓鱼攻击而言尤为如此。值得注意的是,2017年7月,Adobe 表示计划将 Flash 推进生命周期终止状态,即在今年年底将不再更新或分发 FlashPlayer。今年6月份,随着年底的期限越来越逼近,Adobe 表示将在未来几个月内提示用户卸载软件。
去年,Flash Player 曾是令系统管理员头疼的问题。Adobe在今年2月和6月曾提示用户注意可导致任意代码执行后果的严重漏洞。
Adobe 公司建议用户通过公告中所列的指南更新至最新版本。Colyer 表示,作为安全最佳实践,强烈建议修复常见的可利用矢量或重复出现的威胁矢量。
Colyer 表示和,“对于因业务关键功能无法删除 Adobe Flash 的组织机构,建议通过 killbit 功能完全阻止 AdobeFlash Player 运行的方法缓解这些潜在漏洞,设置组策略关闭实例化 Flash对象,或限制信任中心设置提示活跃脚本元素。”
推荐阅读
Stringlifier:Adobe 开源日志清理和凭据暴露检测工具
Adobe 紧急修复Adobe Illustrator 等三款产品中的严重漏洞
原文链接
https://threatpost.com/flash-player-flaw-adobe-rce/160034/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
1319
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
