弱點 - 資安趨勢部落格

因 Hacking Team 外洩事件而曝光的三個零時差漏洞已經突顯出 Flash 多麼容易存在著漏洞。假使像 Hacking Team 這麼小的公司 (員工總共 40 人) 都能挖到這麼重大的漏洞，那想像一下其他一些由政府在背後資助的團體將有多大能耐。先前我們只能猜測情況大概多糟，但現在我們已經清楚看到它有多危險。

在理想的世界裡，就 Flash 現在的狀況來看，真的必須淘汰。不是改用新的網站技術 (如 HTML5)，就是叫 Adobe 想辦法讓 Flash 變得安全。不過，這兩件事大概都不會發生。

Flash 就像煙癮一樣：即使我們知道它不好，但還是難以戒掉。儘管有風險，人們還是會繼續使用，因為光是安全的理由還不足以讓人放棄它。就網站的觀點，他們還是會繼續使用 Adobe Flash，因為成本較低，使用者體驗也較優。對使用者來說，因為他們經常上的網站仍在使用 Flash，所以還是少不了它。不論開發人員和使用者都得依賴 Flash，因此可以確定 Adobe Flash 還會繼續存活一段時間。

那麼，我們可以做些什麼？ 繼續閱讀

[新弱點通知] Adobe Flash與Oracle Java零時差漏洞

2015 年 07 月 17 日2015 年 07 月 17 日趨勢科技 TrendMicro

Hacking Team資料外洩與新的Flash漏洞更新

上週趨勢科技曾經提醒用戶一個新的零時差Adobe Flash漏洞（CVE-2015-5119），起因於 Hacking Team 資料外洩事件。雖然Adobe很快在最新釋出的版本修補了這個漏洞（18.0.0.203），但從Hacking Team握有的資料中又發現了兩個新的Flash漏洞。

關於新發現的Flash漏洞資訊，您可參考：

CVE-2015-5122：
Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光
CVE-2015-5123：
又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

這兩個新的Adobe Flash漏洞（CVE-2015-5122、CVE-2015-5123）已經證實但目前尚未修補。Adobe承諾會在本周修補這兩個漏洞。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵，利用CVE-2015-5122漏洞植入後門程式，趨勢科技用戶只要啟用網頁信譽評等服務，即可攔截這些受駭網站。

Pawn Storm攻擊與Java零時差漏洞

負責Pawn Storm目標式攻擊活動的趨勢科技威脅研究專家，在此攻擊活動中發現了一個新的Oracle Java零時差漏洞遭受到攻擊。根據趨勢科技主動式雲端截毒服務 Smart Protection Network分析，這些攻擊是透過魚叉式網路釣魚網路釣魚（Phishing）信件進行，在信件中含有惡意URL指向惡意伺服器，進而攻擊未修補的Java漏洞。

這些行動同時會攻擊一個三年前已揭露的微軟Windows Common Controls漏洞CVE-2012-015（MS12-027）。

趨勢科技已將此一新的零時差漏洞回報給Oracle並與其密切合作，而Oracle也已經緊急在2015年7月14日釋出修正程式修補此Java漏洞。詳細資料請參考：
進一步資訊請參考：
Java零時差漏洞再現，鎖定專門攻擊軍事單位,政府機關和國防機構

Oracle 2015年七月緊急更新建議

防護措施
趨勢科技已有解決方案防護用戶免遭此漏洞攻擊：

趨勢科技Deep Security及Vulnerability Protection（原OfficeScan中的IDF模組）：請將防護規則保持更新，即可提供多一層的防護。尤其趨勢科技更釋出最新主動式防護規則：
- Deep Packet Inspection (DPI) rule1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability (addresses the already resolved CVE-2015-5119)