Adobe 发布十月补丁日仅为修复一个严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Adobe 公司十月补丁日仅发布了一个漏洞且为“严重”级别。Adobe 公司称,FlashPlayer 应用中存在一个因空解指针引用错误引发的严重漏洞 (CVE-2020-9746),影响Windows、macOS、Linux 和 ChromeOS操作系统。
该漏洞如遭成功利用,可导致可造利用的崩溃,从而导致在当前用户的上下文中执行任意代码。
Automox 公司的高级产品营销经理 NickColyer 表示,“对于Flash Player 漏洞而言,基于 Web 的利用是主要的利用矢量,但并非唯一矢量。攻击者也可通过微软 Office文档或使用 IE 渲染引擎的应用程序中的嵌入式 ActiveX 控制利用该漏洞。
该漏洞是由空解指针引用错误导致的。当程序试图通过一个空解指针读写内存时就会产生这种问题。运行包含空解指针引用的程序会立即生成分段错误。
受影响版本是Adobe FlashDesktop Runtime(Windows、macOS 和 Linux)版本 32.0.0.433 及之前版本以及Adobe Flash Player for Google Chrome(Windows、macOS、Linux 和 ChromeOS)、Adobe Flash Playerfor Microsoft Edge 和 IE11 (Windows 10 和8.1)。
版本32.0.0.445中已发布补丁,适用于所有受影响平台。Adobe 将补丁列为“优先级2“级别,意思是“所修复的漏洞位于风险提升的产品中”,不过实际上目前并不存在已知的 exploit。
Flash 是网络攻击者的最爱,尤其对于 exploit 包、0day 攻击和钓鱼攻击而言尤为如此。值得注意的是,2017年7月,Adobe 表示计划将 Flash 推进生命周期终止状态,即在今年年底将不再更新或分发 FlashPlayer。今年6月份,随着年底的期限越来越逼近,Adobe 表示将在未来几个月内提示用户卸载软件。
去年,Flash Player 曾是令系统管理员头疼的问题。Adobe在今年2月和6月曾提示用户注意可导致任意代码执行后果的严重漏洞。
Adobe 公司建议用户通过公告中所列的指南更新至最新版本。Colyer 表示,作为安全最佳实践,强烈建议修复常见的可利用矢量或重复出现的威胁矢量。
Colyer 表示和,“对于因业务关键功能无法删除 Adobe Flash 的组织机构,建议通过 killbit 功能完全阻止 AdobeFlash Player 运行的方法缓解这些潜在漏洞,设置组策略关闭实例化 Flash对象,或限制信任中心设置提示活跃脚本元素。”
推荐阅读
Stringlifier:Adobe 开源日志清理和凭据暴露检测工具
Adobe 紧急修复Adobe Illustrator 等三款产品中的严重漏洞
原文链接
https://threatpost.com/flash-player-flaw-adobe-rce/160034/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
Adobe 发布十月补丁日仅为修复一个严重漏洞相关推荐
- 2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告 原创 360CERT [三六零CERT](javascript:void(0)
- 2020-06 补丁日: 微软多个产品高危漏洞安全风险通告
2020-06 补丁日: 微软多个产品高危漏洞安全风险通告 360-CERT [三六零CERT ](javascript:void(0)
- 微软将迎来迄今最大补丁日 一次修补49个漏洞
据国外媒体报道,微软下周二将发布16个补丁程序,总计修复高达49处漏洞,是迄今为止修复漏洞数量最多的一个"补丁日". 每月的第二个星期二为微软的"补丁日",即发 ...
- 2021年微软服务器出问题,2021年2月“微软补丁日”Windows 多个严重高危漏洞预警...
漏洞描述 微软官方于2021年2月10日发布安全更新,其中修复了多个高危严重漏洞.在CVE-2021-24074 TCP/IP远程执行代码漏洞中,攻击者通过构造并发送恶意的IPv4数据包,从而控制目标 ...
- 2020-10 补丁日: 微软多个产品高危漏洞安全风险通告
原创 360CERT [三六零CERT](javascript:void(0)
- Adobe 再次发布带外更新,修复影响10款产品的漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Adobe 发布本月第二次带外安全更新,修复了影响多款软件产品中的严重漏洞. 这次发布的补丁不在例行的每月安全周期内,影响 Windo ...
- 微软6月补丁日修复7个0day:6个已遭利用且其中1个是为 APT 服务的商用exploit
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今天,微软发布六月补丁星期二,共修复50个漏洞,其中6个是已遭活跃利用的 Windows 0day,是微软补丁星期二有史以来修复的数量最庞 ...
- wordpress表单数据验证_微软发布最大规模周二补丁修复129个漏洞;UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击...
维他命安全简讯 10 星期三 2020年06月 [漏洞补丁] 微软发布最大规模的周二补丁程序,共修复129个漏洞 [安全漏洞] UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻 ...
- 微软十月补丁星期二值得关注的0day及其它
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在十月补丁星期二共修复了71个新CVE 漏洞,另外前几天修复了8个Microsoft Edge(基于 Chromium)和3个OpenSSL ...
最新文章
- UA MATH571A QE练习 R语言 非参数回归 上
- 《Adobe After Effects CS6中文版经典教程》——1.3 创建合成图像与组织图层
- JavaEE企业级快速开发平台jeesite4的使用和快速搭建项目
- TensorFlow 从零到helloWorld
- word域变成正常文本_超级干货|最全的PPT、Excel、Word实用宝典,助你办公效率翻倍!...
- 使用JUnit和Repeat注​​释编写有效的负载测试
- VS2010中使用sprintf出现warning C4997: 'sprintf': This function or variable may be unsafe.
- zedgraph画图
- 总结一下最近用到的技术(2)--JsonSchema和JsonSchemaValidator
- linux的鼠标右键老是建立文件夹,右键新建只有文件夹怎么办|右键只能新建文件夹解决方法-系统城...
- Spring cloud搭建HSF框架,整合mybatis、redis、rabbit
- CNKI E-Study与Endnote 的参考文献题录互导
- Tcp提供程序:指定网络名不可用
- linux apktool的用法,Apktool的基本用法
- 2022年1024程序员节日纪念
- vs2017下配置Xamarin
- [每日一氵] C语言函数不要返回数组地址
- lisp调用qleader端点_常用函数.lsp - AutoLISP/Visual LISP 编程技术 - CAD论坛 - 明经CAD社区 - Powered by Discuz!...
- 绩效考核为何不得人心?
- MM的爆强语录(转)
热门文章
- Lync Server 2010企业版系列PART1:基础构建
- apache的源码包编译
- JSValidation 1.0b4 发布了!
- node.js中net网络模块TCP服务端与客户端的使用
- Android 常用操作
- 【读书笔记《Android游戏编程之从零开始》】11.游戏开发基础(SurfaceView 游戏框架、View 和 SurfaceView 的区别)...
- 混日子不是你的错,根源在这里
- 免费送《你的知识需要管理》签名书活动,秒杀
- [导入]获取表单所有元素的类型或者属性或者是value
- easyexcel 导入指定_阿里巴巴EasyExcel使用(3)-导入