Adobe今天修补了Flash Player的两个关键漏洞,并告知IT管理员在30天内进行更新。
这是Flash今年的第二次更新;Adobe最后一次修补不到三周前.
Adobe在一份附带文件中承认:“这些漏洞可能导致系统崩溃,并可能让攻击者控制受影响的系统。安全咨询发布于美国东部时间下午3点。
其中一个漏洞是Matrix3D (Adobe ActionScript类,用于确定Flash中三维对象的位置)中的内存破坏漏洞,Adobe表示,这“可能导致代码执行”。
第二个漏洞没有那么严重,被称为“信息泄露”漏洞。
Adobe表示,与上月的Flash更新不同,攻击者尚未开始利用这些漏洞。
正因为如此,Adobe将今天的Flash Player更新标记为“优先级2”,这是该公司上周悄悄宣布的一个新的三标签咨询系统的中点博客由Adobe产品安全事件响应小组小组经理David Lenoe主持。
Lenoe认为“所有关键的安全更新都是不平等的”,他说Adobe正在建立一个三步更新推荐排名。
优先级1将保留给Adobe认为消费者应该立即应用的更新,企业应该在72小时内应用的更新。Lenoe说,这些更新将修补已经被黑客利用的所谓“零日”漏洞。
根据这个定义,2月15日的Flash更新应该被定位为优先级1。
Adobe表示,优先级2的更新——比如今天的更新——应该“很快”部署,并建议企业IT管理员在30天内推出它们。“(这些更新)解决了产品中历来风险较高的漏洞……[而且]根据以往的经验,我们预计攻击不会马上发生,”Adobe上周表示。
最后,优先级3的更新将是Adobe建议管理员“根据自己的判断”应用的更新,因为它们“解决了产品中的漏洞,而这些漏洞在历史上并不是攻击者的目标”。
Lenoe说,新的优先级排名考虑了历史攻击模式、漏洞类型、受影响的软件和可能可用的缓解措施。Adobe还将继续播放它已经在使用的评级,如“关键”,以及新的优先标签。
nCircle security公司的安全运营总监安德鲁·斯道姆在周一通过即时通讯进行的采访中说:“基本上是现在1个,明天2个,可能3个。”
斯道姆还认为,对于Adobe来说,新的排名是一个合理的举动,因为Adobe采用了微软的一些安全措施,包括后者的开发过程和一些产品的常规补丁计划。
“这完全是微软的追赶,”斯道姆谈到Adobe的新系统,并将其与微软周二补丁更新的每月部署建议进行了比较。“这几乎是任何定期发布安全公告的供应商的自然进程。”
他还称赞了Adobe的这一举措,不过他说,企业IT管理员希望这家总部位于加州圣何塞的公司能提供更细化的补丁。
“如果今天有不止一个更新,对It来说会更有价值,所以我们会把Adobe公告堆起来,决定把资源放在哪里,”他说,指的是周一更新中包含的两个补丁,一个显然比另一个更重要。
“尽管如此,这是一个很好的、快速的排名,让我可以看看Adobe更新是否解决了零日(如果它没有),我可能可以等待一天分配资源调查,”斯道姆补充说。,”风暴补充道。
Adobe公司将Flash漏洞的报告归功于两位谷歌安全研究员Tavis Ormandy和Fermin Serna。
昨天,当谷歌补丁Chrome 17它还更新了与浏览器绑定的Flash Player,包括Adobe今天发布给其他人的补丁。
的补丁版本Flash播放器Windows、Mac、Linux和Solaris的版本可以从Adobe的网站上下载。或者,用户可以运行Flash的更新工具,或者等待软件提示新版本可用。
Android用户可以从安卓市场.
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
看到Gregg Keizer在Computerworld.com报道.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“Adobe在20天内第二次对Flash Player进行了补丁”,最初由《计算机世界》 .