月內第 3 個 Flash Player 再被揭一零時差漏洞

在不足美半個月前,Flash 被揭發當時最新的零時差漏洞,當時漏洞主要針對 Windows 用戶。而日前 Flash 又被發現有另一個零時差漏洞,此零時差漏洞更將影響所有平台的 Flash 用戶,更為危險。

在不足美半個月前,Flash 被揭發當時最新的零時差漏洞,當時漏洞主要針對 Windows 用戶。而日前 Flash 又被發現有另一個零時差漏洞,此零時差漏洞更將影響所有平台的 Flash 用戶,更為危險。

 

漏洞將同時影響 Windows 及 Mac 用戶

繼 1 月下旬被揭發影響 Windows 用戶的零時差漏洞後,Flash 日前再次發出安全通報,是次的對像包括 Windows 及 Mac 用戶;而受影響的 Flash Player 版本為 16.0.0.296 及之前的版本,此漏洞除會導致當機外,駭客亦可藉攻擊掌控受駭的電腦系統,並再以其作基地,對外發動攻擊。

被趨勢科技率先發現的新漏洞編號為 CVE-2015-0313,趨勢科技威脅分析師 Peter Pi 指,發現到訪影片分享網站 dailymotion.com 的用戶被引導至其他網站,最後則會連接到代管 SWF_EXPLOIT.MJST 攻擊程式的惡意網站,而 SWF_EXPLOIT.MJST 則會鎖定 CVE-2015-0313 漏洞發動攻擊。

Pi 續指,由於此一連串的流量引導行為來自相關網站的廣告平台,而非網站本身的內容,故此受波及的不單只 dailymotion.com,亦有其他網站受牽連。

趨勢科技相信仍有其他攻擊鎖定此零時差漏洞,因此建議用戶暫時關閉 Flash Player,伸至 Adobe 為 Flash Player 推出更新為止。

Adobe 亦已證實此漏洞成為攻擊目標,表示預計將於今個星期內推出修補程式。

Source:Adobe