持续入侵针对新Adobe Flash Player漏洞

　　Adobe系统公司对针对Adobe Flash Player中一个关键零日漏洞的持续攻击发出警告，该攻击可以让攻击者获得对受感染计算机的完全控制。

 

　　Adobe在昨天发布一个公告，警告说，一些安全厂商发现微软的Excel文件中包含一个嵌入的恶意Flash文件，试图利用新的Flash Player的零日漏洞。

 

　　Adobe表示，该漏洞存在于所有版本的Adobe Flash Player中，包括Windows，Macintosh，Linux，谷歌浏览器和Android平台中的Flash Player。Adobe Reader和Acrobat的最新版本也受到影响。最新版本的Adobe Reader，即Adobe Reader X中也包含着易受攻击的组件，但Reader X可以阻止攻击者使用分离的Adobe Reader沙箱去感染计算机，Adobe产品安全性和隐私的高级主管Brad Arkin在公司博客中这样写道。

 

　　Arkin表示，“我们迄今收到的报告表明，该攻击是针对少数机构的，且范围有限。”

 

　　一旦漏洞被利用，攻击者就试图在受害者的机器上安装持续的恶意软件，Arkin说道。虽然这种攻击被限于微软的Excel文件中，但Arkin解释道，嵌入了恶意代码的PDF文件同样可以利用该漏洞。

 

　　Adobe仍在致力于用一个不定期检查的补丁来修复该漏洞。Adobe表示，3月21日将推出针对大多数系统的更新。Adobe Reader X将在下一个季度针对Adobe Reader安全更新中被更新，目前预定为6月14日。

 

　　在SecureList博客中，卡巴斯基实验室高级研究员罗尔Schouwenberg说，网络犯罪分子已经将Flash Player攻击设计成为可以轻易地躲过反垃圾邮件过滤器。“依我看来，这是一个典型的拥有太多功能的产品引起安全问题的例子，”Schouwenberg补充道，微软和Adobe应该采取措施，防止有人在Microsoft Excel中嵌入的Flash(SWF)文件。

 

　　“说我老土吧，但我实在不明白在Excel文件内嵌入SWF的观点，”他说道。