Adobe周二修补了Flash播放器和Shockwave播放器中的若干漏洞,包括一个已经被利用的漏洞。
“Adobe意识到一些报告中所说的,已经有人企图利用恶意的Flash(.swf)内容诱使用户打开微软Word文档,已知的被利用的漏洞为CVE-2013-5331。”该公司在安全公告中称。
该CVE(通用漏洞披露)ID涉及新版Flash播放器中一个类别不明的漏洞。另一个被修复的导致内存崩溃的漏洞,追踪结果也是CVE-2013-5332。如果不法分子成功利用该漏洞,那么两个漏洞都可能导致随机代码执行,这样黑客就可能控制被感染的系统。
对这类漏洞利用的弥补措施从Flash 11.6开始就存在了,该版本的Flash加入了点击播放的特性,当Flash文件在低于Office 2010的Office版本中打开时,这一特性要求用户确认嵌入到文档里的Flash内容。
尽管周二发布的更新把Flash播放器的Windows和Macintosh版本放到了11.9.900.170版本中,把相应的Linux版本放到了11.2.202.332版本中。绑定了谷歌Chrome,IE 10和IE11的Flash播放器将通过这些浏览器的更新机制完成自动更新。
两个Flash播放器漏洞也同时在Adobe AIR中得到了修复,Adobe AIR是支持Flash,适用于富互联网应用的一个运行时。用于修复的漏洞打包在了在了适合Windows,Mac和安卓的Adobe AIR 3.9.0.1380.
周二发布了Windows版本和Mac版本的Adobe Shockwave 12.0.7.148来解决这两个造成缓存崩溃的漏洞——CVE-2013-5333和CVE-2013-5334——两个漏洞可能导致随机代码执行。Shockwave播放器的普及度不及Flash Player,但是安装该播放器的台式机也超过4.5亿,据Adobe透露,这使得它成为了黑客的潜在目前。
已经出现对这两个Flash漏洞的利用报告,“我们推荐把新的Flash放到紧急补丁补录中,”漏洞管理公司Qualys CTO Wolfgang kandek在博客中说。