Flash Player 安全建议 | APSA18-01
公告 ID 发布日期 优先级
APSA18-01 2018 年 2 月 1 日 1

摘要

Adobe Flash Player 28.0.0.137 和更早版本中存在关键漏洞 (CVE-2018-4878)。如果攻击者利用了该漏洞,则整个受影响的系统就会遭到控制。

Adobe 注意到有关“利用 CVE-2018-4878 漏洞大肆进行攻击”的报告,这类攻击主要是针对 Windows 用户发起的有限、有目标的攻击。这些攻击将利用电子邮件,分发内部嵌有恶意 Flash 内容的 Office 文档。

Adobe 将在近期发布(预计于 2 月 5 日这一周)的版本中,解决此漏洞。

如需了解最新信息,用户可关注 Adobe Product Security Incident Response Team(Adobe 产品安全事件响应团队)的博客

受影响的产品版本

产品 版本 平台
Adobe Flash Player 桌面运行时 28.0.0.137 及更早版本 Windows、Macintosh
适用于 Google Chrome 的 Adobe Flash Player 28.0.0.137 及更早版本 Windows、Macintosh、Linux 和 Chrome OS 
适用于 Microsoft Edge 和 Internet Explorer 11 的 Adobe Flash Player 28.0.0.137 及更早版本 Windows 10 和 8.1
Adobe Flash Player 桌面运行时 28.0.0.137 及更早版本 Linux

要确认您系统上安装的 Adobe Flash Player 版本,请访问 About Flash Player 页面,或者右键单击 Flash Player 中运行的内容,并从菜单中选择“关于 Adobe(或 Macromedia)Flash Player”。如果您使用多种浏览器,请针对系统中所安装的每种浏览器执行检查。

缓解措施

从 Flash Player 27 版本开始,如果 Flash Player 运行在 Windows 7 及更低版本中的 Internet Explorer 上,那么管理员可在播放 SWF 内容之前提示用户,以便更改 Flash Player 的行为。有关更多详细信息,请参阅这份管理指南

管理员也可以考虑实施受保护的 Office 视图。“受保护的视图”将以只读模式打开那些带有潜在安全风险标记的文件。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
释放后重用 远程代码执行 关键 CVE-2018-4878

鸣谢

KrCERT/CC 报告了这个问题并与 Adobe 一起保护客户的安全,Adobe 对此表示衷心感谢。