周二,Adobe在9天内第二次修复了Flash Player的一个关键漏洞,黑客已经在利用这个漏洞。
Adobe还更新了其流行的Reader PDF viewer,以消除13个新漏洞和几个公司尚未修复的老漏洞。
Adobe认为Flash Player的内存损坏漏洞“非常严重”,并表示该漏洞“可能让攻击者控制受影响的系统”咨询。“有报告称,这一漏洞正在被恶意网页的针对性攻击所利用,”该报告补充道。
Adobe上一次发布紧急更新是在6月5日,当时它被称为“out- band”修正了一个严重缺陷攻击者利用它来窃取Gmail登录凭据。
这些攻击与以前的不同谷歌上周披露的,当时该公司指控中国黑客针对特定的人这些人包括美国和韩国政府高级官员、反华政府活动人士和记者,他们发送的信息试图骗他们在一个虚假的Gmail登录屏幕上输入用户名和密码。
将Flash Player与Chrome捆绑在一起的谷歌也对其进行了更新浏览器包括刚刚修补过的Flash版本。
Adobe在过去两个月里给Flash Player打了四次补丁,今年到目前为止已经打了六次补丁。
尽管大多数Flash漏洞也可以使用特别制作的PDF文档加以利用——Adobe的Reader包括“authplay”。dll,”自定义呈现内容在pdf (Adobe的Flash版本说最新的Flash错误不影响读者。
在闪光安全更新,Adobe还修正了13个新漏洞在读者。最新版本Reader X收到了至少17个补丁。
在这13个新漏洞中,只有两个被Adobe认定为“关键”苹果不率多标记评分系统的缺陷。相反,它用“可能导致远程执行代码”来说明黑客可能会劫持系统,并利用漏洞在机器上植入恶意软件。
baker的12个新漏洞包括内存损坏漏洞、缓冲区和堆溢出漏洞、跨文档脚本漏洞、DLL负载劫持漏洞和一个简单地标记为“安全绕过”的漏洞。
Adobe在回答后续问题时表示,最后一个漏洞是Reader x独有的,在某些情况下,攻击者可以迫使Reader浏览器插件下载非pdf文件。
Adobe还为Reader X应用了至少四个——或许更多——补丁,这些补丁在之前的三次带外更新中都拒绝修复回到三月。
尽管该公司在这些更新中对旧版本进行了补丁,但并没有修复Reader X。该公司每次都表示,由于该程序的“沙箱”防止了恶意软件对计算机的影响,它将等待周二已经计划好的季度更新。
读者X,包括反利用沙箱技术,旨在将该程序与系统的其他部分隔离开来。从理论上讲,沙箱确保恶意软件并启动在读者X无法逃避感染PC或Mac。
Adobe表示,周二修补过的Reader漏洞没有一个被人利用。
在发布Flash Player和Reader安全更新的同时,Adobe还在Shockwave Player、LifeCycle Data Services和Blaze DS(分别是一种直播流媒体服务和数据推送服务)和ColdFusion(一种Adobe开发平台)上修补了24个漏洞。
修补过的版本读者和Flash播放器可以从Adobe的网站下载。另外,用户可以运行程序的集成更新工具,或者等待软件提示新版本可用。
Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
阅读更多有关安全的内容在计算机世界的安全主题中心。
这个故事,“Adobe补丁第二Flash零日在9天”最初发表《计算机世界》 。