看教育网如何应对Flash软件0day漏洞

安全
攻击者可构造特制的.swf 文件,将其放置在网页中、PDF文档、Word文档、Execl表格中来引诱用户点击,目前该漏洞正在网络上被大规模利用。需要提醒的是这个漏洞与上个月提到Flash Player漏洞有相似之处,但是并非同一个漏洞。

应对Flash软件0day漏洞

Flash Player软件的一个0day漏洞正在网络上被利用来传播木马病毒。攻击者将加载了有问题.swf文件的Word文档放置在网页或邮件的附件中引诱用户打开。目前厂商针对该漏洞发布了补丁程序,各种杀毒软件也能有效识别此类攻击。用户只需及时升级Flash软件的补丁及更新病毒到最新版本,就能有效防止木马病毒的感染。

近期新增严重漏洞评述

4月12日,微软发布该月的例行安全公告。本次发布的公告数量创了年内的新高,达到17个之多(MS11-018至MS11-034),其中9个属于严重级别,8个属于重要级别。

这些公告共修复了Windows操作系统、SMB客户端和服务器、GDI+、DNS解析、JScript和VBScript脚本引擎、OpenType CFF驱动程序、MFC库、MHTML、Office套件、IE浏览器、及.net组件中的64个安全漏洞,前段时间暴露出的IE浏览器0day漏洞(CVE-2011-1345)也在这次公告中得到了修补。

基于这些漏洞带来的风险,建议用户尽快下载相应的补丁程序安装。第三方软件中BIND 软件的漏洞需要引起管理员关注,BIND的 9.6-ESV-R3 及之前版本存在一个漏洞,漏洞存在于BIND软件使用DNSSEC模式查询验证的过程中,如果有问题的BIND软件开启了DNSSEC查询验证功能(9.6.-ESV-R3版本默认开启该功能),会导致根服务器对提供递归查询服务的DNS提交的正常的普通(非DNSSEC,即查询的CD位=0)查询请求有50%的几率返回SERVFAIL应答,其结果是用户端的DNS解析请求会时好时坏。漏洞在BIND 9.6.-ESV-R3之后的版本中得到了修补,管理员只要更新版本就可消除此漏洞。

Adobe Flash Player‘SWF’文件远程内存破坏漏洞

影响系统:

Adobe Acrobat<=10.0.2;

Adobe Reader<=10.0.1;

Adobe Flash Player <=10.2.156.12;

Adobe Acrobat Professional<=10.0.2;

Adobe Acrobat Standard<=10.0.2。

漏洞信息:

Adobe Flash Player 10.2.153.1和之前版本(Adobe Flash Player 10.2.154.25和用于Chrome用户的早期版本),Android下的Adobe Flash Player 10.2.156.12及早期版本,Windows和Macintosh操作系统下的Adobe Reader及Acrobat X (10.0.2)和Reader及Acrobat早期10.x和9.x版本提供的Authplay.dll组件存在严重安全漏洞。 攻击者可以构造一个特制的.swf文件引诱用户点击来利用该漏洞,成功利用该漏洞可以远程执行任意命令。

漏洞危害:

攻击者可构造特制的.swf 文件,将其放置在网页中、PDF文档、Word文档、Execl表格中来引诱用户点击,目前该漏洞正在网络上被大规模利用。需要提醒的是这个漏洞与上个月提到Flash Player漏洞有相似之处,但是并非同一个漏洞。

解决办法:

Flash Player最新版本中,厂商已经修补了此漏洞,用户只需升级Flash软件即可。Adobe Reader/Acorbat软件中此漏洞的攻击难度非常高,因此这两个软件的补丁程序预计到6月份才会提供。

【编辑推荐】

  1. 从微博蠕虫到0day漏洞 瑞星提醒防范7月黑客攻击
  2. Flash再曝天窗漏洞 黑客可轻易远程攻击
  3. 用EMET防范0day漏洞溢出攻击
  4. IE 0day漏洞攻击即将爆发 360提示用户防范挂马网页
责任编辑:佚名 来源: 中国教育网
相关推荐

2009-07-06 13:15:07

2021-10-06 13:48:50

0day漏洞攻击

2015-05-20 16:34:14

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2013-05-24 14:02:42

2022-03-25 13:41:55

漏洞网络攻击Quantum(量子

2011-08-26 11:44:01

2015-10-12 10:07:19

2022-03-30 09:09:39

漏洞网络安全网络攻击

2015-07-14 10:53:19

Hacking Tea0Day漏洞

2015-07-14 11:00:16

2009-09-09 08:54:50

2011-03-15 15:14:22

2011-02-28 09:34:55

2020-12-17 10:28:27

漏洞网络攻击网络安全

2010-01-20 16:13:15

2021-07-14 17:17:45

0day漏洞恶意代码

2023-01-12 12:00:33

2015-06-25 17:23:33

2011-10-24 16:26:06

点赞
收藏

51CTO技术栈公众号