Adobe Flash 等被爆出嚴(yán)重漏洞：可導(dǎo)致代碼任意執(zhí)行

眾所周知，F(xiàn)lash 是網(wǎng)絡(luò)攻擊的首選目標(biāo)。值得注意的是，Adobe 在 2017 年 7 月宣布計(jì)劃將 Flash 推入使用壽命終止?fàn)顟B(tài)，這意味著它將在今年年底不再更新或分發(fā) Flash Player。不過(guò)仍然在使用 Flash 的用戶(hù)需要警惕，因?yàn)?Adobe 在今年 5 月被爆出了多個(gè)嚴(yán)重漏洞，好在 Adobe 于 6 月 9 日發(fā)布了安全更新，修復(fù)了漏洞。

Adobe 被爆出的漏洞：

兩個(gè)嚴(yán)重的越界寫(xiě)入漏洞（代號(hào)分別為：CVE-2020-9634，CVE-2020-9635）, 一個(gè)內(nèi)存損壞而導(dǎo)致的嚴(yán)重漏洞（代號(hào)：CVE-2020-9636）.

對(duì)于 CVE-2020-9634，特定的漏洞存在于 GIF 文件的解析中，該問(wèn)題是由于缺乏對(duì)用戶(hù)提供的數(shù)據(jù)的正確驗(yàn)證而導(dǎo)致的，這可能導(dǎo)致寫(xiě)操作超出了分配對(duì)象的末尾。

對(duì)于 CVE-2020-9635，PDF 文件的解析中存在特定漏洞。問(wèn)題是由于缺乏對(duì)用戶(hù)提供的數(shù)據(jù)的正確驗(yàn)證而導(dǎo)致的，這可能導(dǎo)致在分配的對(duì)象開(kāi)始之前進(jìn)行寫(xiě)操作。

攻擊者可以利用 CVE-2020-9634，CVE-2020-9635 兩個(gè)漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼，誘使用戶(hù)打開(kāi)特定文件或訪問(wèn)惡意頁(yè)面。

對(duì)于 CVE-2020-9636，該漏洞是在釋放內(nèi)存后嘗試訪問(wèn)的。這可能導(dǎo)致一系列惡意影響，從導(dǎo)致程序崩潰到潛在地導(dǎo)致執(zhí)行任意代碼 - 甚至啟用完整的遠(yuǎn)程代碼執(zhí)行功能。

受影響的產(chǎn)品版本

1.包括 Adobe Flash Player 桌面運(yùn)行時(shí)（Windows，macOS 和 Linux），適用于 Google Chrome 的 Adobe Flash Player（適用于 Windows，macOS，Linux 和 Chrome OS）以及適用于 Microsoft Edge / Internet Explorer 11（適用于 Windows 10 和 8.1）的 Adobe Flash Player，均適用于 32.0 版 . 0.330 及更早版本

2. 適用于 Windows 的 Adobe Framemaker 版本 2019.0.5 及更低版本

升級(jí)修復(fù)版本

Adobe Flash Player 更新到 32.0.0.387 版本，加強(qiáng)安全性。該版本除了修復(fù)最近爆出的漏洞，還可以解決歷史上風(fēng)險(xiǎn)較高的產(chǎn)品中的漏洞。

Adobe Framemaker 版本升級(jí)到 2019.0.6 版本或最新版本

其他漏洞

Adobe 還修補(bǔ)了與 Experience Manager（其用于構(gòu)建網(wǎng)站，移動(dòng)應(yīng)用程序和表格的內(nèi)容管理平臺(tái)）中的六個(gè)重要級(jí)別的漏洞。這些包括可能允許敏感信息泄露的服務(wù)器端請(qǐng)求偽造故障（CVE-2020-9643 和 CVE-2020-9645）和跨站點(diǎn)腳本漏洞（CVE-2020-9647，CVE-2020-9648，CVE-2020 -9651 和 CVE-2020-9644），可以在瀏覽器中啟用任意 JavaScript 執(zhí)行。

受影響的產(chǎn)品版本

Adobe Experience Manager (AEM)所有平臺(tái) 6.5 版本

升級(jí)修復(fù)版本

建議所有用戶(hù)迅速更新到 AEM 最新版本（目前最新版本為：6.5.5.0），加強(qiáng)安全性。