Adobe Flash又曝新漏洞 可自动执行恶意代码

近日Adobe在安全公告中宣布了Flahs的另一堆代码执行漏洞，并且向24.0.0.186版用户推送升级提醒，帮助用户升级到更高版本解决。Adobe及其有安全漏洞的Flash播放器一直在持续执行多年前为web内容平台设置的行为集。

Adobe给出的相关细节显示，他们修复了三个免费使用版的漏洞、四个缓冲区溢出和五个内存损坏问题——所有这些都有可能导致恶意代码被执行。这些漏洞能够在Windows、macOS、Linux、和Chrome OS等操作系统上运行Flash时出现，目前相关用户都会会收到更新提示，将原来的本的Flash更新到更高，请收到提示的国内用户也尽快升级。

Google的Project Zero（谷歌的互联网安全项目）向Adobe报告了五个问题；Microsoft Vulnerability Research（微软的漏洞研究项目）提供了两个错误报告；Chromium Vulnerability Rewards Program（谷歌的网络安全隐患奖励计划项目）报告了三个问题；腾讯报告了一个问题。好在，最新版本的Flash修复了Adobe所描述的“可能导致信息泄露的安全性旁路漏洞”问题，这也是Project Zero的研究人员发现的。多年来，Flash已经是代码执行漏洞的“惯犯”了。与过去的一些建议不同，Adobe没有在其最新的升级中表示，它已经注意到了有任何漏洞被利用。

随着近年来广大用户对满是漏洞的Flash技术日益不满，微软将其在Edge浏览器中通过点击运行Flash，其它浏览器的厂商也都陆续在支持此功能。此外目前业界也在尝试用更新更成熟的HTML5播放器技术代替在网页播放器中Flash的位置，不过这一进程还需要时间，目前我们只能继续和Flash播放器再纠缠一段不断的时间。