Adobe公司发出警告:网络犯罪分子正在利用Flash中的0 day漏洞

阅读量99730

|

发布时间 : 2016-05-13 16:47:23

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://www.welivesecurity.com/2016/05/12/adobe-flash-zero-day-in-wild/

译文仅供参考,具体内容表达以及含义原文为准。

https://p3.ssl.qhimg.com/t015c9bb2790496e9d1.png

正如这篇文章的标题,如果用户在Windows,Mac,Linux,或者Chrome OS等操作系统平台上安装了Adobe Flash插件,那么用户将有可能受到黑客的攻击。

Adobe公司已经发布了一份安全公告,并在公告中提醒用户称,Flash Player软件中存在一个尚未修复的严重漏洞。根据安全研究人员的分析,网络犯罪分子目前正在利用这一漏洞实施攻击。

但是,Adobe公司目前还没有向外界提供有关这一0 day漏洞(CVE-2016-4117)的详细信息。但是,当我们听到攻击者可以利用未修复的漏洞进行恶意广告活动或者水坑攻击时,我相信没有人会对此而感到惊讶。因为攻击者可以利用类似Angler Exploit Kit这种臭名昭著的漏洞利用工具来实施这样的攻击。

毫无疑问,我们在不久之后就能够了解到有关这一漏洞的详细信息了。正如Adobe公司所说的那样,公司也希望在这周之内为Flash软件推送安全更新。届时,我们就能够了解到有关这类攻击的信息了,而且用户很有可能在今日的晚些时候就能够接收到这一安全补丁的更新通知了。

目前,我们只能够从Adobe公司发表的安全公告中了解到有关此次事件的大致信息,公告的部分内容如下:

“Adobe Flash Player 21.0.0.226及其之前版本的插件中存在一个严重的安全漏洞(CVE-2016-4117),Windows、Macintosh、Linux、以及Chrome OS等操作系统平台都会受到这个漏洞的影响。如果攻击者能够成功利用这个漏洞,不仅会引起目标系统的崩溃,攻击者还有可能获取到受感染系统的控制权。”

很明显,在计算机系统中部署分层防御体系是十分有意义的。所谓的分层防御体系,还包括定期更新你的反病毒软件和其他的一些工具软件。

除此之外,这一安全事件也应该让用户们开始重新考虑一下他们与Adobe Flash之间的关系了。毕竟在过去的这几年时间里,Adobe Flash插件一直都被恶意攻击和安全漏洞所困扰着。

就算你还没有准备好完全卸载Flash,但是你也应该考虑一下是否需要开启浏览器中的“Click to Play(点击播放)”功能,因为这样可以降低你被黑客攻击的可能性。

http://p1.qhimg.com/t0194d194300dc49940.png

当你启用了“点击播放”功能之后,你的浏览器就不会显示一些潜在的恶意Flash内容了,除非你允许它自动播放或自动运行。换句话说,在启用了这个功能之后,一个含有恶意代码的Flash文件是不会执行的,除非得到了你的同意。否则,当你访问了一个感染了病毒的网站时,恶意代码将会自动运行。

如果你打算在你的计算机中继续使用Flash,那么请你确保计算机中的Flash插件的版本是最新的版本。你可以选择开启Adobe Flash的自动更新功能,但是我发现它的自动更新功能有时非常的慢,新版本发布之后,可能要过很长一段时间才能接收到相应的更新通知。当然了,你也可以手动对其进行更新。

如果你对软件的版本有疑问的话,你可以随时检查你所安装的Flash插件版本,并从Adobe公司的官方下载页面中下载最新版本的Flash插件。

ESET公司的安全分析专家Mark James给广大用户提供了以下建议:

“目前,仍然有大量的设备安装了Adobe Flash插件。很多厂商都已经不再使用这款软件了,因为这款软件会引起非常严重的安全问题。实际上,虽然很多用户都会在他们的计算机中安装这款软件,但是他们在日常操作过程中并不会使用到它,用户也就更加不会去了解有关这一软件的安全风险了。在我们的日常使用中,需要保证计算机中的所有软件都是最新的版本,如果某一款软件是你不会去使用的,那么请你最好将其卸载。除此之外,定期更新网络安全防护产品也可能够帮助你抵御黑客和恶意软件的攻击。”

如果你没有使用Adobe Flash,你也不必沾沾自喜,因为其它厂商的软件中也会存在大量严重的安全漏洞。

比如说,就在这周,微软公司紧急发布了一个安全补丁,用来修复其Jscript和VBScript引擎中的0 day漏洞。据了解,此前曾有攻击者利用这个漏洞来对韩国的用户进行网络攻击。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
WisFree
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66