Adobe Flash Player发布更新解决远程代码执行漏洞
Adobe昨日发布安全更新,解决了Flash Player中的一个关键漏洞,该漏洞可允许恶意网站在您的计算机上执行代码。
Adobe昨日发布安全更新,解决了Flash Player中的一个关键漏洞,该漏洞可允许恶意网站在您的计算机上执行代码。
据Adobe APSB18-44发布的公告称,该漏洞CVE ID为CVE-2018-15981,是一种可用于执行远程代码的类型混乱安全漏洞。也就是说,攻击者可创建恶意SWF文件,并将其托管在网站上,易受攻击的访问者浏览该网站时便会受其感染。借此,攻击者可在访问者电脑上执行任何命令,如下载与安装恶意软件。
11月13日,Adobe发布了Flash Player的安全更新,以及旗下其他产品的更新。Adobe发布另一更新的原因是,网上已公布了该漏洞的技术信息,攻击者可利用这些信息创建有效的漏洞。
几乎在Flash Player发布更新的同一天,即11月13日,有人发布了一条博文,详细介绍了Flash Player中的类型混淆漏洞。
该博文写道,“TLDR;Adobe Flash中存在错误,捕获异常后,动作脚本虚拟机(简称AVM)的解释器代码并不会重置带范围的指针,这将导致类型混淆错误,最终将执行远程代码。”
据Security Week的爱德华·科瓦克斯(Eduard Kovacs)称,是以色列研究员吉尔·达巴(GilDabah)写了这篇博文。但尚不清楚其公开披露该漏洞的原因。
最后,若您因某些原因仍使用Flash,为确保您安全浏览网站,您应立即更新Flash。用户可通过更新至Adobe FlashPlayer 31.0.0.153来解决该漏洞。
据Adobe APSB18-44发布的公告称,该漏洞CVE ID为CVE-2018-15981,是一种可用于执行远程代码的类型混乱安全漏洞。也就是说,攻击者可创建恶意SWF文件,并将其托管在网站上,易受攻击的访问者浏览该网站时便会受其感染。借此,攻击者可在访问者电脑上执行任何命令,如下载与安装恶意软件。
11月13日,Adobe发布了Flash Player的安全更新,以及旗下其他产品的更新。Adobe发布另一更新的原因是,网上已公布了该漏洞的技术信息,攻击者可利用这些信息创建有效的漏洞。
几乎在Flash Player发布更新的同一天,即11月13日,有人发布了一条博文,详细介绍了Flash Player中的类型混淆漏洞。
该博文写道,“TLDR;Adobe Flash中存在错误,捕获异常后,动作脚本虚拟机(简称AVM)的解释器代码并不会重置带范围的指针,这将导致类型混淆错误,最终将执行远程代码。”
据Security Week的爱德华·科瓦克斯(Eduard Kovacs)称,是以色列研究员吉尔·达巴(GilDabah)写了这篇博文。但尚不清楚其公开披露该漏洞的原因。
最后,若您因某些原因仍使用Flash,为确保您安全浏览网站,您应立即更新Flash。用户可通过更新至Adobe FlashPlayer 31.0.0.153来解决该漏洞。
关于作者
评论1次
还没找到exp 就修复了。。。