Adobe周三修补了Flash Player的七个关键漏洞,其中包括谷歌研究人员报告的一个漏洞,黑客正在使用它进行“主动的有针对性的攻击”。漏洞攻击者利用的是微软IE (Internet Explorer)使用的Flash Player插件中的跨站脚本(XSS)漏洞。
Adobe称:“这次更新解决了一个通用跨站点脚本漏洞,如果用户访问恶意网站,该漏洞可被用来代表用户在任何网站或Web邮件提供商采取行动。安全咨询昨天的Flash更新也是如此。“有报告称,这一漏洞被广泛利用,被设计成有针对性的攻击,诱骗用户点击电子邮件中发送的恶意链接。”
这种攻击只对IE有效。
Adobe表示,其他6个漏洞都与XSS漏洞一样被评为严重漏洞,它们是内存破坏漏洞或安全绕过漏洞,“可能导致崩溃,并可能让攻击者控制受影响的系统。”
谷歌被认为是通知Adobe的XSS漏洞,但Adobe没有注意谷歌何时提交了错误报告,或攻击者利用该漏洞有多长时间。
Adobe为修补漏洞,更新了Windows、Mac OS X、Linux和Solaris上的Flash Player 11和Flash Player 10,以及Android上的Flash Player。
同样在周三,谷歌更新了Chrome浏览器,向用户提供新补丁的Flash。谷歌已经打包的Flash播放器自2010年4月以来,Chrome一直是唯一一个包含Flash Player的浏览器。
上周,Adobe证实了这一消息下一个目标是“沙盒”Flash Player这是一种防御,如果已经实现,应该已经阻止了当前的漏洞。
Adobe在2010年完成了Chrome的沙盒Flash,并刚刚发布了Mozilla的Firefox在Windows Vista和Windows 7上的测试版。
周三的Flash更新是这款媒体播放器今年第一次更新,但这款软件需要大量的补丁:2011年,Adobe修补了9个不同的Flash漏洞。
的补丁版本Flash播放器Windows、Mac、Linux和Solaris的版本可以从Adobe的网站上下载。或者,用户可以运行Flash的更新工具,或者等待软件提示新版本可用。
Android用户可以从安卓市场.
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,或赞同格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇报道,“Adobe确认新的零日Flash bug”最初是由《计算机世界》 .