Adobe釋出緊急更新修補Flash漏洞

Adobe於周二（11/25）緊急釋出更新修補Windows、Mac 與 Linux 上的 Flash Player 安全漏洞，宣稱此次的更新是為了強化今年十月所釋出的更新。資安業者F-Secure 指出，這是因為Adobe上次未將該漏洞修補完全的緣故。

這一次Adobe修補的是CVE-2014-8439漏洞，Adobe坦承這是為了補強今年十月的修補，改善未能妥善處理「取消引用記憶體指標」（dereferenced memory pointer）而可能導致程式執行的漏洞，今年十月Adobe曾經嘗試減輕該漏洞的危害，但並未修補完全。

新現身的CVE-2014-8439漏洞則是由F-Secure所發現。F-Secure研究人員Timo Hirvonen表示，著名的攻擊套件研究人員Kafeine委託該公司鑑定Angler攻擊套件所鎖定的 Flash漏洞，Angler可成功攻擊Adobe在十月修補前的Flash Player 15.0.0.152，但無法攻擊修補後的15.0.0.189，代表Adobe的確在今年十月曾修補該漏洞，但十月的安全更新裡並無明列該漏洞。

這使得F-Secure懷疑Adobe也許只稍微修補以避免被攻擊套件得逞，但卻沒有真正解決產生漏洞的原因，因而向Adobe查證，Adobe證實了F-Secure的猜測，並於本周釋出緊急更新。

Hirvonen說，由於攻擊套件的作者在修補程式釋出的幾天內就能透過反向工程找出漏洞，因而建議使用者儘快部署更新。支援Windows與Mac的最新版本為Adobe Flash Player 15.0.0.239，支援Linux的最新版本則是11.2.202.424。（編譯/陳曉莉）