Flash Player类型混淆严重漏洞,成功利用可能导致任意代码执行(CVE-2018-15981)
2018-11-21 00:00
1966 查看
Adobe修补了Flash Player中的一个关键漏洞,潜在攻击者可利用该漏洞在当前用户的上下文中触发任意代码执行条件。
Flash Confio安全问题出现在Flash Player 31.0.0.148及更早版本中,它会影响在多个平台上运行的版本,从Windows和macOS到Linux和Chrome OS。
正如Common Weakness Enumeration平台所详述的那样,当“程序使用一种类型分配或初始化诸如指针,对象或变量之类的资源,但它稍后使用与原始类型不兼容的类型访问该资源时,会出现类型混淆错误。”
此外,CVE-2018-15981漏洞被Adobe评为一个关键问题,“如果被利用将允许恶意本机代码执行,可能没有用户意识到。”
鉴于成功利用安全漏洞可能导致系统受损并允许攻击者在用户不知情的情况下执行代码,Flash Player用户应尽快更新。
建议Windows和macOS用户立即更新
该错误是由处理恶意制作的.swf文件时触发的类型混淆错误引起的,这些文件可能使攻击者能够使用当前用户的系统权限在目标系统上执行任意代码。
因为这两种平台存在很高风险,而且长期以来都被外界发现的漏洞所攻击,Adobe将这种类型混淆安全问题列为Windows和macOS的优先级1。
此外,Adobe建议所有在其计算机上安装了Flash Player的Windows和macOS用户尽快更新到31.0.0.153版本,以降低风险。
根据Adobe的说法,Linux用户可以自行决定更新他们的Flash Player安装,因为“此更新可以解决历史上不是攻击者目标的产品中的漏洞”。
相关文章推荐
- cve-2010-4452 codebase 和code标签属性未检测同源策略导致任意代码执行漏洞
- Foxit Reader XFA setInterval释放后重利用代码执行漏洞(CVE-2018-17628)
- IBM Campaign 任意代码执行安全漏洞(CVE-2018-1115)
- LibreHealthIO LH-EHR 任意代码执行安全漏洞(CVE-2018-1000646)
- Apache SpamAssassin 任意代码执行漏洞(CVE-2018-11781)
- PHPMyWind 任意代码执行漏洞(CVE-2018-17132)
- PHP168 V6.02 整站系统远程执行任意代码漏洞利用
- MongoDB 任意代码执行漏洞(CVE-2013-4142)
- ThinkPHP2.2 任意代码执行漏洞 利用
- 利用本地包含漏洞执行任意代码
- 利用本地包含漏洞执行任意代码
- PHP-CGI远程任意代码执行漏洞(CVE-2012-1823)修复方案
- CVE-2018-18319 - 华硕路由器 Merlin.php 代码执行漏洞
- 利用本地包含漏洞执行任意代码
- 【更新WordPress 4.6漏洞利用PoC】PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
- AttacheCase 任意脚本执行安全漏洞(CVE-2018-0675)
- WordPress 'is_serialized()'远程任意代码执行漏洞(CVE-2013-4338)
- Thinkphp框架任意代码执行漏洞利用及修复
- IE 不能正确处理 MIME 格式邮件附件导致执行攻击者代码漏洞(NIMDA就是利用了此漏洞)
- Bash 远程任意代码执行安全漏洞(最严重漏洞)