日前,韓國計算機應急響應小組發佈了一則關於Adobe Flash Player的 0day 漏洞警告,並稱早在2017年11月中旬,就有黑客利用該漏洞實施有針對性的攻擊。目前,Adobe官方尚未對此漏洞發佈補丁,不過國內網民無需擔心,360安全衛士無需升級就能完美防禦此次漏洞攻擊,請用戶在漏洞被修復前,確保安全使用文檔和瀏覽網頁,同時開啟安全軟件進行防護。
圖1:360安全衛士可全面防禦和攔截此次Flash漏洞攻擊
360安全衛士全面攔截Flash漏洞攻擊
據悉,此次被發現的漏洞被命名為“CVE-2018-4878”。利用該漏洞,攻擊者可以誘導用戶打開包含惡意 Flash 代碼文件的 Microsoft Office 文檔、網頁、垃圾電子郵件等等,以此來實現攻擊。Adobe官方通告也佐證了這一信息:已經有黑客對Windows用戶發起了少量有針對性的攻擊。這些攻擊主要通過郵件方式發送嵌入惡意Flash內容的Office文檔進行傳播。
CVE-2018-4878漏洞爆出後,360核心安全高級威脅應對團隊迅速反應,目前已截獲該漏洞的在野攻擊,並進行了全面分析。他們認為,攻擊者的手法是經過“精心策劃”的,通過即時聊天工具和郵箱向相關人員發送包含漏洞及惡意代碼的excel誘餌文檔,誘騙受害者打開中招。
在分析簡報中,當前Adobe尚未發佈官方補丁,攻擊在進一步擴散中,360提醒相關單位和用戶警惕來路不明的鏈接及文檔,使用360安全衛士可以全面防禦和攔截可能出現的攻擊。
360將為Flash用戶持續提供安全保障
由於Flash運行於瀏覽器之外,不受操作系統和瀏覽器的安全限制,因此黑客素來偏愛利用Flash漏洞展開攻擊。糟糕的安全狀況讓Adobe黯然宣佈將於2020年底停止對Flash的更新和技術支持。
雖然Flash已成“棄子”,但這並不意味著數以億計的Flash用戶“無人看護”。在Adobe宣佈放棄Flash後,360公司宣佈將持續為Flash用戶提供安全保障,直至其徹底退出歷史舞臺。
圖2:360承諾將為Flash用戶持續提供安全保障
作為國內最大的互聯網安全廠商,360公司一直關注Flash的安全研究,並已協助Flash修復了上百個安全漏洞,這一成績在國內外各安全廠商中遙遙領先。
在Pwn2Own、HackPwn等國際黑客大賽中,360安全團隊多次攻破Flash。尤其是在2017年Pwn2Own上,360攻破Falsh並榮膺“世界破解大師”總冠軍。這些破解利用的漏洞被全部提交給Adobe進行修復,以確保全球Flash用戶的安全。
閱讀更多 互聯觀察 的文章
