Adobe在周二发布了Flash Player 11.2,解决了两个关键的任意代码执行漏洞,并引入了一个静默更新选项。
其中一个补丁漏洞源于旧版本的Flash Player检查URL安全域的方式,仅影响Windows 7或Vista上的Internet Explorer的Flash Player ActiveX插件。
这两个漏洞都可以触发内存损坏,并且可以被利用以远程执行任意代码。然而,Adobe的公司通信高级经理Wiebke Lips表示,Adobe不知道这些缺陷在线攻击中使用的这些缺陷。
Adobe Flash Player 11.1.102.63和适用于Windows,Macintosh,Linux和Solaris的早期版本,建议更新新的Adobe Flash Player 11.2针对各自的平台。建议Adrobe Flash Player 11.1.111.7的用户更新到Flash Player 11.1.111.8。
Flash Player 11.2还引入了一个新的更新机制,可以配置为在后台自动检查和部署更新,而不需要用户交互。这一功能在Adobe的计划中已经有很长一段时间了,预计可以减少被攻击者盯上的过时Flash Player安装的数量。
“新的后台更新商将为客户提供更好的体验,并使我们将更快地响应零天攻击,”Adobe的平台安全战略家Peleus Uhley说:博客帖子周二。“这种更新用户的模式类似于谷歌Chrome的更新体验,谷歌已经在这方面取得了巨大的成功。我们希望也能取得类似的成功。”
这一举措受到了Secunia首席安全官托马斯·克里斯滕森(Thomas Kristensen)的欢迎。Secunia开发了流行的个人软件检查(PSI)补丁管理程序。
“Flash的静默和自动更新机制将帮助大多数用户。用户基础的持续和快速更新可能会影响攻击者对Flash的偏好,”他说。
当然,这只会发生在绝大多数用户使用旧方法升级到Flash Player 11.2或更高版本后,需要明确的批准。
安装adobeflash Player 11.2时,要求用户选择更新方法。可用的选项有:在可用时自动安装更新(推荐),当更新可用时通知我,永远不要检查更新(不推荐)。
静默更新程序将尝试每小时联系Adobe的更新服务器,直到它成功。如果它收到来自服务器的有效响应,说没有更新可用,它将等待24小时后再进行检查。
目前,自动更新选项仅适用于Windows上的Flash播放器,但Adobe正在努力为Mac版本实施,因此Uhley表示。
然而,即使启用了自动更新选项,Adobe也将根据具体情况决定哪些更新将静默部署,哪些更新将不静默部署。那些改变Flash Player默认设置的将需要用户交互。
新的更新程序将同时更新系统上安装的所有Flash Player浏览器插件。Uhley说:“这将解决终端用户不得不在其他开源浏览器上单独更新Flash Player的问题。”
除了使Flash播放器安装基地保持最新更容易和减少所需的时间有效应对零日攻击,攻击,利用未知的漏洞——新沉默的更新也会减少诈骗,分发恶意软件Flash播放器更新。
“Flash Player更新的借口被网络骗子策略地利用了用户进入恶意内容下载恶意内容,”AntiVirus供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu说。“通过消除更新向导,用户可能会更加难以借助他们信任的应用程序所需的合法更新的借口。”
不幸的是,Botezatu表示,这种无声更新模型无法应用于所有应用程序。他给了Internet Explorer 6的例子,Microsoft尝试逐步淘汰,但是公司仍然广泛使用,因为他们的业务应用程序依赖于它,并且不适用于较新版本。
Adobe正在努力说服用户放弃对ie6的支持,即将推出的Flash Player版本将不再支持ie6。“我们将不再在认证过程中包含对ie6的测试,并强烈鼓励用户升级到最新版本的ie6,”Uhley说。