Adobe於周二(7/14)釋出Flash Player 18.0.0.209,修補最近自義大利駭客公司Hacking Team外洩文件中被揭露的兩個最新Flash零時差漏洞CVE-2015-5122與CVE-2015-5123。

根據Adobe的說明,CVE-2015-5122涉及一個「釋放後使用」(use-after-free)漏洞,而CVE-2015-5123則是屬於記憶體損毀漏洞,兩個漏洞都有遠端程式執行的潛在風險,皆被列為嚴重等級最高的重大漏洞。

新版的Flash Player 18.0.0.209已同時修補上述兩大漏洞,且Chrome瀏覽器與Windows 8.x平台上的IE 10/11都會自動更新至最新的Flash版本。

FireEye與趨勢科技等兩大資安業者是在Hacking Team外洩文件中找到這兩個漏洞以及相關的概念性驗證程式,目前尚未發現針對這些漏洞的實際攻擊行動。

不過,Hacking Team外洩文件中第一個被發現的CVE-2015-5119 Flash漏洞就沒這麼幸運,其相關攻擊程式已被納入Angler、Nuclear、Neutrino與Magnitude等四大攻擊套件中,雖然Adobe也已於日前修補了該漏洞,但趨勢科技指出,已有駭客入侵部份台灣網站,並利用此一漏洞植入後門程式。近期對台灣用戶造成重大影響的勒索軟體,也可能透過此漏洞進行攻擊。

CVE-2015-5119被Hacking Team稱為「最近4年來最完美的Flash臭蟲」,這是一個ByteArray類別的user-after-free漏洞,可自遠端執行任意程式或是造成服務阻斷,影響所有版本的Flash Player。(編譯/陳曉莉)

熱門新聞

Advertisement