adobe flash爆出严重漏洞:可导致代码任意执行 获取个人隐私-k8凯发游戏

adobe flash爆出严重漏洞:可导致代码任意执行 获取个人隐私
作者:新浪科技 发布时间:2020-06-11

众所周知,flash是网络攻击的首选目标。值得注意的是,adobe在2017年7月宣布计划将flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发flash player。不过仍然在使用adobe的用户需要警惕,因为adobe 在今年5月被爆出了多个严重漏洞,好在adobe于6月9日发布了安全更新,修复了漏洞。

1 副本.jpg

adobe 被爆出的漏洞:

两个严重的越界写入漏洞(代号分别为:cve-2020-9634,cve-2020-9635),一个内存损坏而导致的严重漏洞(代号:cve-2020-9636).

对于cve-2020-9634,特定的漏洞存在于gif文件的解析中,该问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致写操作超出了分配对象的末尾。

对于cve-2020-9635,pdf文件的解析中存在特定漏洞。问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致在分配的对象开始之前进行写操作。

攻击者可以利用cve-2020-9634,cve-2020-9635两个漏洞在当前进程的上下文中执行代码,诱使用户打开特定文件或访问恶意页面。

对于cve-2020-9636,该漏洞是在释放内存后尝试访问的。这可能导致一系列恶意影响,从导致程序崩溃到潜在地导致执行任意代码-甚至启用完整的远程代码执行功能。

受影响的产品版本

1.包括adobe flash player桌面运行时(windows,macos和linux),适用于google chrome的adobe flash player(适用于windows,macos,linux和chrome os)以及适用于microsoft edge / internet explorer 11(适用于windows 10和8.1)的adobe flash player,均适用于32.0版.0.330及更早版本

2.适用于windows的adobe framemaker版本2019.0.5及更低版本

升级修复版本

adobe flash player更新到32.0.0.387版本,加强安全性。该版本除了修复最近爆出的漏洞,还可以解决历史上风险较高的产品中的漏洞。

adobe framemaker版本升级到2019.0.6版本或最新版本

其他漏洞

adobe还修补了与experience manager(其用于构建网站,移动应用程序和表格的内容管理平台)中的六个重要级别的漏洞。这些包括可能允许敏感信息泄露的服务器端请求伪造故障(cve-2020-9643和cve-2020-9645)和跨站点脚本漏洞(cve-2020-9647,cve-2020-9648,cve-2020 -9651和cve-2020-9644),可以在浏览器中启用任意javascript执行。

受影响的产品版本

adobe experience manager (aem)所有平台6.5版本

升级修复版本

建议所有用户迅速更新到aem 最新版本(目前最新版本为:6.5.5.0),加强安全性。

来源:

网站地图