亡羊补牢：Adobe修补Flash、Shockwave中关键漏洞

ZDNET安全频道 12月13日 国际新闻：Adobe周二修补了Flash播放器和Shockwave播放器中的若干漏洞，包括一个已经被利用的漏洞。

“Adobe意识到一些报告中所说的，已经有人企图利用恶意的Flash（.swf）内容诱使用户打开微软Word文档，已知的被利用的漏洞为CVE-2013-5331。”该公司在安全公告中称。

该CVE（通用漏洞披露）ID涉及新版Flash播放器中一个类别不明的漏洞。另一个被修复的导致内存崩溃的漏洞，追踪结果也是CVE-2013-5332。如果不法分子成功利用该漏洞，那么两个漏洞都可能导致随机代码执行，这样黑客就可能控制被感染的系统。

对这类漏洞利用的弥补措施从Flash 11.6开始就存在了，该版本的Flash加入了点击播放的特性，当Flash文件在低于Office 2010的Office版本中打开时，这一特性要求用户确认嵌入到文档里的Flash内容。

尽管周二发布的更新把Flash播放器的Windows和Macintosh版本放到了11.9.900.170版本中，把相应的Linux版本放到了11.2.202.332版本中。绑定了谷歌Chrome，IE 10和IE11的Flash播放器将通过这些浏览器的更新机制完成自动更新。

两个Flash播放器漏洞也同时在Adobe AIR中得到了修复，Adobe AIR是支持Flash，适用于富互联网应用的一个运行时。用于修复的漏洞打包在了在了适合Windows，Mac和安卓的Adobe AIR 3.9.0.1380.

周二发布了Windows版本和Mac版本的Adobe Shockwave 12.0.7.148来解决这两个造成缓存崩溃的漏洞——CVE-2013-5333和CVE-2013-5334——两个漏洞可能导致随机代码执行。Shockwave播放器的普及度不及Flash Player，但是安装该播放器的台式机也超过4.5亿，据Adobe透露，这使得它成为了黑客的潜在目前。

已经出现对这两个Flash漏洞的利用报告，“我们推荐把新的Flash放到紧急补丁补录中，”漏洞管理公司Qualys CTO Wolfgang kandek在博客中说。