的Adobe今天证实,袭击者使用的是Microsoft Excel文档利用未打补丁的漏洞在Flash Player。
该公司将在下周补丁的Flash也将更新Adobe Reader中,其中包括可使其插在PDF文件中的Flash内容的代码。
“他们攻击在野外,所以他们非常快速移动,”沃尔夫冈Kandek,Qualys公司首席技术官。“这是值得称道的。”
根据安全咨询周一发布,攻击者正在利用通过发送作为电子邮件附件的Microsoft Excel文档中嵌入恶意Flash文件的漏洞。
Adobe表示这是不知道冲着Reader或Acrobat,分别是流行的PDF阅读器和PDF商业创造者,任何攻击。
“这个漏洞可能导致应用程序崩溃,并且可能允许攻击者在受影响系统的控制,为” Adobe承认其咨询。
布拉德·阿金,该公司的产品安全和隐私主管,提供了一个了解更多信息周一的博客文章。“报告......迄今表明攻击是针对极少数的组织和范围有限,”阿金说。
利用闪存漏洞后,黑客感染系统与其它的恶意程序。
Excel文件是简单地交付机制对于用于利用该漏洞恶意的Flash代码,一个Adobe发言人证实。
“黑客使用的任何机制是有道理的,和Excel文件一般信任的文档,” Kandek说。“所以,[Excel文档]是社会工程元素的一部分正好在这里。”
Adobe将补丁的Flash,Reader和Acrobat下周 - 该公司没有指定日期,但它往往释放在周二的安全修补程序 - 但不会更新阅读器X,观众的最新版本,其中包括防漏洞“沙箱”,旨在使处于困境大多数攻击。
读者X的沙箱阻止当前攻击,阿金说,也会防止恶意软件安装如果黑客切换到交付利用恶意PDF文件,用闪光灯频繁使用的战术攻击。
土坯决定不更新读者X下周由于建筑的修复将被延迟一周闪光灯,Reader和Acrobat更新发布。“鉴于如果Adobe Reader X沙盒以及没有通过PDF的攻击提供的缓解,我们确定出不定期的更新会招致不必要的流失和补丁管理开销上我们的用户不相关的风险有道理的,”阿金说。
读者X将获得在下次定期计划更新补丁6月14日,阿金补充说。
用户应采取利用这个机会,更新阅读器X,敦促Kandek。“这是沙盒如何提供额外的硬化很好的例子,”他说。“在[的Pwn2Own]上周,没有人试图利用谷歌的Chrome, 例如。我认为,曾与Chrome的沙盒额外做。”
读者X可以从Adobe网站下载;只有Windows版本包括沙箱技术,但是。
最后的Adobe的Flash补丁和Reader2月8日,当它运修复两个方案42层的缺陷。
格雷格·凯泽涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多关于安全在计算机世界的安全主题中心。
这个故事,“黑客攻击的Flash零日,Adobe公司的确认”,由最初发表计算机世界 。