Adobe Flash - 資安趨勢部落格

Google 新一版的Chrome 將封殺Flash

2016 年 08 月 29 日2016 年 08 月 22 日趨勢科技 TrendMicro

在即將到來的九月中，Chrome版本53會開始有效地封鎖Flash。根據Google的Chrome部落格，Google計劃在今年年底在新版Chrome瀏覽器將Adobe Flash Player擋在門外。Google表示他們計劃在12月發表Chrome版本55，用HTML5取代Flash，這是個輕量而無須外掛程式的Adobe多媒體軟體平台的替代方案。此舉可以提高安全性，並且降低電力消耗和網頁載入時間。

在2015年，Google推出「智慧化暫停（intelligent pausing）」，Chrome的點擊後載入功能，可自動停止內容播放（包括了Flash動畫）以節省資料傳輸和電力。內容通常是廣告或網站側邊欄的自動播放影片，這些會拖慢網頁載入且被認為較無關緊要。自動暫停功能大大提升網頁瀏覽速度和顯著地降低電力消耗。但還是一種選擇性的作法，因為被暫停的內容可以用滑鼠點擊恢復。有了這功能，Google表示，「你會注意到的唯一變化是更加安全，更節省電力的瀏覽體驗。」

隨著Flash的普及，它在十幾年來也長期飽受批評。Apple公司在其行動設備不支援Flash就開始了它的下滑之路，而未曾中止的安全問題和大量耗用設備資源也促使網站將圖像和動畫從Flash轉成HTML5。

[延伸閱讀：Adobe Flash的難題：積重難返]

Flash已經出現過許多安全問題，雖然這也有可能是來自於它受歡迎的程度和普及性。由於支援該平台是熱門瀏覽器功能的一部分，從微軟的IE到Mozilla的Firefox和Google的Chrome，它已經成為普遍的漏洞攻擊目標，反復地將使用者暴露在威脅前。在2015年有許多Flash漏洞（包括兩個零時差漏洞）在一年的前幾個星期就被發現。趨勢科技在一月底回報了第一個，其會影響微軟Windows的Adobe Flash Player使用者。在二月初，另一個Flash的零時差漏洞被發現，這次是用在惡意廣告。繼續閱讀

《資安新聞週報》國際駭客殺入台灣變臉詐騙鎖定名人 /Flash曝嚴重安全漏洞影響全球10多億用戶

2016 年 04 月 18 日2016 年 04 月 18 日趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

【壹週刊】國際駭客殺入台灣變臉詐騙鎖定名人台灣蘋果日報網

駭客盯上任賢齊上億財產險飛了台灣時報

iPhone 被破解的秘密曝光？FBI 疑似找「灰帽駭客」代勞！自由時報電子報

[專訪] 趨勢安全專家Kyle Wilhoit：企業以暴制暴解決數位犯罪恐成趨勢網路資訊雜誌

詐騙手法　兩岸大不同台以ATM解除分期付款居首陸多為假冒公務機關台灣時報

陸偽基站多點傳輸 1台可騙10萬人旺報

兩岸詐騙黑色供應鏈產值4千億網路駭客補習班、月付500個資吃到飽產業應運而生旺報

美中協議後駭客襲美收斂聯合新聞網

美擬立法強制科技業協助解碼人間福報網

ICJI總監：洩密者身分若曝光性命堪慮中時電子報網

趨勢科技實習開跑徵召資安新秀聯合新聞網

巴拿馬警方突襲洩密律師事務所中國廣播公司全球資訊網

信用卡盜刷風險專家教你這樣避免中央社即時新聞網

網路商城用戶多成駭客竊個資目標 tvbs新聞網

不想被駭！FBI局長教你這樣做中時電子報網

蘋果iOS現漏洞！駭客設假wifi 產品連上將死機中時電子報網

Flash曝嚴重安全漏洞影響全球10多億用戶新浪網(科技)

CIA情資駭客車手橫行台灣已成「犯罪天堂」壹電視

張明正看AlphaGo：台灣得趕上人工智慧潮流，這比鴻海買夏普還重要100倍！關鍵評論網

鉅款闖關不單純！變臉詐騙鎖定名人、CEO 傳首富險受害 iSET 2011三立網站繼續閱讀

零時差漏洞攻擊：Magnitude 漏洞攻擊套件收錄舊版 Adobe Flash Player 零時差漏洞 CVE-2016-1019

2016 年 04 月 08 日2016 年 04 月 20 日趨勢科技 TrendMicro

繼 2016 年 4 月 5 日發出安全公告之後，Adobe 隨即釋出了一份緊急更新來修補一個 Adobe Flash Player 漏洞：CVE-2016-1019。趨勢科技已觀察到一些專門利用 Magnitude 漏洞攻擊套件的零時差攻擊，受影響的使用者包括 Flash 20.0.0.306 版以及更早版本的使用者。不過，這一波攻擊並不影響 Flash 21.0.0.182 及 21.0.0.197 版的使用者，因為 Adobe 已在 21.0.0.182 版當中導入了 Heap 記憶體保護機制，而 21.0.0.197 版理所當然承襲了這項功能。這兩個版本的使用者在遇到這項漏洞攻擊時只會發生 Adobe Flash 當掉的情況。

我們強烈建議所有使用者立即安裝最新的安全更新，因為目前這一波漏洞攻擊正在網路上流行。趨勢科技在安全更新釋出之前，即發現上述漏洞攻擊套件收錄了這項漏洞，並且會讓電腦感染勒索軟體。

根據我們的分析，CVE-2016-1019 是一種所謂的「類型混淆漏洞」，該漏洞會影響 Flash 20.0.0.306 以及更早的版本。不過在遇到 Flash 21.0.0.182 及 21.0.0.197 版本時，僅會造成 Flash 當掉。Adobe 從 21.0.0.182 版本開始便加入了 Heap 記憶體保護措施。

圖 1：散布 Magnitude 漏洞攻擊套件的惡意網域。

Magnitude 漏洞攻擊套件,全球流量分布,台灣排名第ㄧ

早在 2016 年 3 月 31 日，趨勢科技即經由我們 Smart Protection Network™ 的回報發現一項使用 Magnitude 漏洞攻擊套件的零時差攻擊已經收錄了這項漏洞。這項攻擊會讓系統感染 Locky勒索軟體，這是一種將惡意程式碼暗藏在文件巨集當中的加密勒索軟體。根據報導，此惡意程式曾攻擊美國肯德基州一家基督教衛理公會醫院 (Methodist Hospital) 的電腦系統。

圖 2：Magnitude 漏洞攻擊套件全球流量分布,台灣排名第ㄧ(2016 年 3 月 31 日至 4 月 6 日)。 繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

2015 年 10 月 14 日2015 年 10 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動，以攻擊知名目標聞名，而且近兩年來更使用了 Java 有史以來第一個零時差漏洞。

在最近一波攻擊行動當中，Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計，看起來都指向一些正常的時事新聞網頁，其使用過的電子郵件主旨包括：

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

值得注意的是，其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來，各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外，歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門，從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示，Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示，這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。