在 Adobe Flash Player 2018 及更早版本中發現了一個關鍵的釋放後使用漏洞,索引為 CVE-4878-28.0.0.137。
在周四發布的安全公告中, Adobe 表示如果攻擊者利用此漏洞並且知道當前的漏洞利用,則攻擊者可以獲得對系統的訪問權限。 這一切都始於韓國 CERT 發布的諮詢警告稱,利用該漏洞的攻擊代碼正在野外傳播。
據思科系統公司的研究人員稱 塔洛斯,攻擊是通過嵌入惡意 Flash 對象的電子郵件分發的 Microsoft Excel 文檔執行的。 然後,如果觸發 SWF 對象,它會安裝 ROKRAT,這是一個遠程管理工具。
Adobe 提到 目前的攻擊針對的是有限數量的 Windows 用戶。 但它也可能影響在軟件版本為 28.0.0.137 及更早版本的 macOS、ChromeOS、Linux 平台上運行的系統。
受影響的產品版本包括 Adobe Flash Player Desktop Runtime(Windows、Macintosh)、Adobe Flash Player for Google Chrome(Windows、Macintosh、Linux 和 Chrome OS)、Adobe Flash Player for Edge 和 IE 11(Windows 10、8.1)、Adobe Flash Player 運行時 (Linux)。
對於緩解措施,Adobe 建議用戶啟用受保護的 Office 視圖,以限制危險文件僅以只讀模式打開。
Flash 通常用於觀看視頻。 但由於當今大多數網站都使用內置 HTML 5 來播放視頻內容,除非需要,否則您可以卸載 Flash Player。 但是,解決該漏洞的安全補丁將於本週 5 月 XNUMX 日發布。 因此,您可以在更新發布後再次安裝它。
想要了解您系統上的 Flash Player 版本的用戶,請訪問關於 Flash Player 頁面並右鍵單擊內容並從菜單中選擇“關於 Adobe(或 Macromedia)Flash Player”。 並且運行多個瀏覽器的人需要為系統上安裝的每個瀏覽器重複相同的步驟。
