Flash Player又有零時差漏洞! 這是 Adobe在今年1月下旬相繼修補兩個Flash Player零時差漏洞之後,第三個重大漏洞,除了會導致當機外,駭客也有機會掌控受駭系統,並已傳出攻擊行動。
趨勢科技研究團隊在一波惡意廣告攻擊事件中發現了新的Adobe Flash 零時差漏洞,此漏洞影響最新版本的Adobe Flash,漏洞編號為CVE-2015-0313,趨勢科技將此漏洞偵測為SWF_EXPLOIT.MJST。
當使用者瀏覽 dailymotion.com網站時,會被導至一系列網站,最後會開啟一個惡意網站,目前趨勢科技產品已可偵測相關惡意網站。這一連串的流量引導行為是來自於相關網站的廣告平台,而非網站的內容,因此受影響的並不只是dailymotion.com,也有其他網站遭到牽連。
趨勢科技在今年的1月14日便偵測到相關攻擊,並在1月27日看到惡意網站的流量高峰,已觀察到約3294起與該攻擊程式有關的案例,建議使用者暫時關閉 Flash Player。
註:此漏洞與2015年一月份所披露的漏洞不同。
細節:
面對此類漏洞,趨勢科技建議您儘速更新原廠的漏洞修補程式,但截至目前為止,Adobe官方尚未針對此漏洞發佈安全性更新,而我們也持續監控與此漏洞可能相關的其他攻擊。此漏洞影響及於最新版的Adobe Flash Player(版本號:16.0.0.296)及前一個版本,趨勢科技建議您在安全性更新發佈之前停用或阻擋這些版本的Adobe Flash Player。同時,我們也持續與Adobe確認安全性更新的釋出時間。