近日Adobe在安全公告中宣布了Flahs的另一堆代码执行漏洞,并且向24.0.0.186版用户推送升级提醒,帮助用户升级到更高版本解决。Adobe及其有安全漏洞的Flash播放器一直在持续执行多年前为web内容平台设置的行为集。
Adobe给出的相关细节显示,他们修复了三个免费使用版的漏洞、四个缓冲区溢出和五个内存损坏问题——所有这些都有可能导致恶意代码被执行。这些漏洞能够在Windows、macOS、Linux、和Chrome OS等操作系统上运行Flash时出现,目前相关用户都会会收到更新提示,将原来的本的Flash更新到更高,请收到提示的国内用户也尽快升级。
Google的Project Zero(谷歌的互联网安全项目)向Adobe报告了五个问题;Microsoft Vulnerability Research(微软的漏洞研究项目)提供了两个错误报告;Chromium Vulnerability Rewards Program(谷歌的网络安全隐患奖励计划项目)报告了三个问题;腾讯报告了一个问题。好在,最新版本的Flash修复了Adobe所描述的“可能导致信息泄露的安全性旁路漏洞”问题,这也是Project Zero的研究人员发现的。多年来,Flash已经是代码执行漏洞的“惯犯”了。与过去的一些建议不同,Adobe没有在其最新的升级中表示,它已经注意到了有任何漏洞被利用。
随着近年来广大用户对满是漏洞的Flash技术日益不满,微软将其在Edge浏览器中通过点击运行Flash,其它浏览器的厂商也都陆续在支持此功能。此外目前业界也在尝试用更新更成熟的HTML5播放器技术代替在网页播放器中Flash的位置,不过这一进程还需要时间,目前我们只能继续和Flash播放器再纠缠一段不断的时间。