Adobe修補Flash Player、Acrobat and Reader等產品共81項漏洞

Adobe修補Flash Player、Acrobat等81項漏洞

Adobe周二連續發佈4項安全公告,以修補包括Flash Player、Acrobat and Reader等產品共81項漏洞。 

這81項漏洞中有2項位於Adobe Flash Player,67項漏洞落在Acrobat and Reader,企業內容管理軟體Adobe Experience Manager及閱讀軟體Adobe Digital Edition分別出現3項及9項漏洞。Adobe呼籲企業及用戶應盡速升級到最新版本軟體。 

首先,APSB17-23修補Flash Player版中CVE-2017-3085及 CVE-2017-3016,2項漏洞分別導致資訊外洩及遠端程式碼執行。影響產品包括Windows、Mac、Linux版Flash Player桌面版Runtime,以及Google Chrome及Microsoft Edge/IE 11環境的Adobe Flash Player。 

APSB17-24針對Windows及Mac版Adobe Acrobat與Reader發佈。67項漏洞中,33項為可導致遠端程式碼執行的重大風險(critical)漏洞,涵括記憶體毁損、UAF (Use After Free),24項為造成資訊外洩的重要(important)風險漏洞。 

另外,APSB17-26針對Adobe Experience Manager發佈,修補6.0及6.3版產品中可造成任意程式碼執行攻擊及資訊外洩的3項漏洞。最後APSB17-27修補電子書閱讀軟體Adobe Digital Edition中造成遠端程式碼執行、記憶體位址及資訊外洩的漏洞 ,影響產品為Windows、Mac、iOS及Android版Digital Edition 4.5.5以前的版本。


81項漏洞?think反正Adobe的漏洞跟破爛Windows一樣多,還是直接改成「2017年底前完全淘汰Flash」這樣就不用「修理漏洞」!yell

Flash掰掰!Adobe宣告2020年底前將完全淘汰Flash、資安漏洞及效能問題逐漸為人詬病

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

快更新! Adobe緊急修補Flash零時差漏洞

Adobe本周一(10/16)就釋出了緊急安全更新, 修補已被開採的Flash Player零時差漏洞。

此一安全漏洞的編號為CVE-2017-11292,是由卡巴斯基實驗室(Kaspersky Lab)所提報。該實驗室是在調查駭客集團BlackOasis 利用惡意Word文件來散布FinSpy間諜程式時發現了利用該漏洞的零時差攻擊程式。

根據Adobe的說明,該漏洞將允許駭客執行程式,已被用來發動目標式攻擊,並鎖定Windows作業系統。不過該漏洞顯然影響了眾多的作業系統,因為Adobe周一的更新涵蓋了Windows、macOS、Linux與Chrome OS上的Flash Player。

由英國業者Gamma打造的FinSpy專門出售給全球的政府機關,以用來監控特定對象,通常侷限在該國境內;然而,卡巴斯基實驗室自去年就開始追蹤的BlackOasis卻是個例外,它針對全球的目標發動攻擊以蒐集情報。

卡巴斯基實驗室表示,BlackOasis採用最新版的FinSpy,備有各種反分析技術以躲避偵測,安裝在受害者電腦上的FinSpy會連結位於瑞士、保加利亞與荷蘭的C&C伺服器,以傳送資料或等待進一步的指令,受害者則分布在俄國、伊拉克、伊朗 、阿富汗、沙烏地阿拉伯、荷蘭及英國等。

此外,這已是FinSpy今年以來第三次利用零時差漏洞展開攻擊 ,該實驗室相信這樣的搭配將會愈來愈盛行。


涵蓋了Windows、macOS?think沒關係!早就在更新macOS 10.12、10.13的時候,就已經完全不安裝Flash Player這個爛東西!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏