Adobe已经承认Flash播放器存在2个新的重要安全漏洞,并承诺尽快修复,以保护用户免受这2个零日漏洞影响。Adobe通常每月更新补丁,修复Flash方面的相关安全漏洞为,但是一直到黑客攻击意大利一家监控和间谍软件公司的服务器,Adobe才承认存在2个零日漏洞,并在7月8日发布了第一个零日漏洞(CVE-2015-5119)的修复补丁。对意大利监控和间谍软件公司的攻击,导致400GB企业数据被盗,其中包括电子邮件,财务报告和相关源代码。黑客团队研究人员持续分析被盗数据,我们很可能很快会看到他们公布更多漏洞。
意大利这家监控和间谍软件公司,为世界各国政府提供监控软件和工具。公司发言人表示,这次袭击是“复杂的”,并可能“花费数天或数周才能完成,”目前尚未找到发动攻击的元凶。这次公布的Flash第二个零日漏洞,在黑客团队内部被戏称为“过去四年最漂亮的Flash漏洞”,是一个ByteArray类用户后释放(UAF)漏洞,可用于覆盖PC功能,改变对象的价值和重新分配内存,并且影响Adobe Flash Player 9或更高版本。
上周末,Adobe Flash继续爆出另外两个关键安全漏洞,研究人员已报告给Adobe,编号是CVE-2015-5122和CVE-2015-5123,前者影响Windows,Mac和Linux平台上Adobe Flash Player 18.0.0.204及更早版本,后者影响Windows,Mac和Linux平台上所有版本,Adobe计划本周修复这些漏洞。