有資訊保安研究人員發現 Adobe Flash 的最新零時差漏洞,黑客可利用 Angler EK 攻擊套件針對該漏洞發動攻擊。趨勢科技指情況嚴重,更幾乎影響每一位 Microsoft Windows 用戶,提醒用戶注意及加以防範。
黑客可針對 Windows 用戶攻擊
據報被黑客鎖定的三個 Adobe Flash Player 漏洞,其中有兩個已在去年底揭露,Adobe 亦已經發佈已修補漏洞的最新版 Adobe Flash Player 16.0.0.287。餘下一個則是尚未揭露的零時差漏洞,目前未有解決方案提供,即使用戶已使用最新版本並保持更新,仍有機會遭到這類攻擊,直到 Adobe 釋出修補程式為止。
歹徒利用「惡意廣告」(Malvertisement) 來散播惡意程式,即使用戶瀏覽的是值得信賴的網站,也有可能遭受到感染。黑客可透過此漏洞在 Windows 電腦上執行惡意程式,由於該程式將享有與用戶相同的權限,黑客便可輕易在用戶電腦內植入更多其他惡意程式。
Adobe 呼籲 Windows 及 Mac 用戶更新到 Adobe Flash Player 16.0.0.287,而 Linux 用戶更新到 Flash Player 13.0.0.262。針對 Flash Player 16.0.0.287 的攻擊,Adobe 表示還在研究,並未透露預計的修補日程。
Angler EK 攻擊套件已可發動攻擊
趨勢科技香港區顧問李浩然表示,由於這是零時差漏洞,消費者須等待 Adobe 釋出修補程式後進行系統與軟體更新才能保持安全。就目前觀察,歹徒似乎還未攻擊 Mac 或 Android 等其他平台的 Adobe Flash。但李浩然仍提醒正在使用這些平台的用戶,都需要安裝一套防護軟體,並且盡快安裝 Adobe 所釋出的任何更新以保護自己的安全。
黑客會開發攻擊漏洞的套件並在網絡上販賣,讓其他網絡犯罪集團也能利用該套件發動攻擊,而名為「Angler」的漏洞攻擊套件已確認包含此漏洞,可針對 Windows 用戶發動攻擊。此漏洞將有可能導致大量攻擊,所有 Microsoft Windows 用戶都應了解該情況的嚴重性並加以防範。