聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Adobe 公司十月补丁日仅发布了一个漏洞且为“严重”级别。Adobe 公司称，FlashPlayer 应用中存在一个因空解指针引用错误引发的严重漏洞 (CVE-2020-9746)，影响Windows、macOS、Linux 和 ChromeOS操作系统。

该漏洞如遭成功利用，可导致可造利用的崩溃，从而导致在当前用户的上下文中执行任意代码。

Automox 公司的高级产品营销经理 NickColyer 表示，“对于Flash Player 漏洞而言，基于 Web 的利用是主要的利用矢量，但并非唯一矢量。攻击者也可通过微软 Office文档或使用 IE 渲染引擎的应用程序中的嵌入式 ActiveX 控制利用该漏洞。

该漏洞是由空解指针引用错误导致的。当程序试图通过一个空解指针读写内存时就会产生这种问题。运行包含空解指针引用的程序会立即生成分段错误。

受影响版本是Adobe FlashDesktop Runtime（Windows、macOS 和 Linux）版本 32.0.0.433 及之前版本以及Adobe Flash Player for Google Chrome（Windows、macOS、Linux 和 ChromeOS）、Adobe Flash Playerfor Microsoft Edge 和 IE11 (Windows 10 和8.1)。

版本32.0.0.445中已发布补丁，适用于所有受影响平台。Adobe 将补丁列为“优先级2“级别，意思是“所修复的漏洞位于风险提升的产品中”，不过实际上目前并不存在已知的 exploit。

Flash 是网络攻击者的最爱，尤其对于 exploit 包、0day 攻击和钓鱼攻击而言尤为如此。值得注意的是，2017年7月，Adobe 表示计划将 Flash 推进生命周期终止状态，即在今年年底将不再更新或分发 FlashPlayer。今年6月份，随着年底的期限越来越逼近，Adobe 表示将在未来几个月内提示用户卸载软件。

去年，Flash Player 曾是令系统管理员头疼的问题。Adobe在今年2月和6月曾提示用户注意可导致任意代码执行后果的严重漏洞。

Adobe 公司建议用户通过公告中所列的指南更新至最新版本。Colyer 表示，作为安全最佳实践，强烈建议修复常见的可利用矢量或重复出现的威胁矢量。

Colyer 表示和，“对于因业务关键功能无法删除 Adobe Flash 的组织机构，建议通过 killbit 功能完全阻止 AdobeFlash Player 运行的方法缓解这些潜在漏洞，设置组策略关闭实例化 Flash对象，或限制信任中心设置提示活跃脚本元素。”

推荐阅读

Stringlifier：Adobe 开源日志清理和凭据暴露检测工具

Adobe 紧急修复Adobe Illustrator 等三款产品中的严重漏洞

原文链接

https://threatpost.com/flash-player-flaw-adobe-rce/160034/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 吧~