- A+
该漏洞可能导致任意代码执行。
Adobe周三发布了一些针对Flash Player的计划外修复程序,其中包括一个据称在野外被利用的关键漏洞。
关键漏洞CVE-2018-15982是一种免费使用后的漏洞,可以在Flash中执行任意代码执行。
“Adobe已发布适用于Windows,macOS,Linux和Chrome OS的Adobe Flash Player安全更新,”Adobe在其发布中表示。 “这些更新解决了Adobe Flash Player中的一个重要漏洞和Adobe Flash Player安装程序中的一个重要漏洞。 成功利用可能会导致当前用户的上下文中的任意代码执行和权限升级。“
这个缺陷是由Gigamon ATR的Chenming Xu和Ed Miles发现的。 研究人员周三还概述了有关漏洞利用的进一步技术细节。
受影响的是Adobe Flash Player桌面运行时,适用于Google Chrome的 Adobe Flash Player; 适用于Microsoft Edge和Internet Explorer 11的Adobe Flash Player; 所有版本均为31.0.0.153及更早版本。 Adobe Flash Player安装程序版本31.0.0.108及更早版本也会受到影响。
据Adobe称,这些受影响产品的用户可以更新到32.0.0.101版。 Adobe Flash Player安装程序的用户可以更新到版本31.0.0.122。
Adobe还修补了一个重要级别的不安全库加载(通过DLL劫持)漏洞CVE-2018-15983,该漏洞可能导致通过Adobe Flash进行权限提升。
根据研究人员的说法,这只是针对Adobe Flash的最新攻击 - 在6月早些时候,零日攻击漏洞被用于针对中东Windows用户的针对性攻击。 Adobe在2月份处理了另一个零日Flash漏洞, 这是被朝鲜黑客利用的。
