快更新！Adobe緊急修補Flash零時差漏洞

Adobe周二（6/23）緊急釋出安全更新以修補已被駭客攻擊鎖定的Adobe Flash Player漏洞。

此一讓Adobe採取緊急修補措施的Flash漏洞編號為CVE-2015-3113，這一個Flash Player影片檔（LFV）解析漏洞讓駭客可藉以掌控受影響的系統，而且已有駭客利用該漏洞進行目標式攻擊，不論是Windows平台上的IE或是Windows XP上的Firefox都已成攻擊目標。

發現該漏漏洞的資安業者FireEye指出，中國的駭客集團APT3已經打造出鎖定該漏洞的攻擊程式，並針對航太/國防、營建工程、高科技、通訊及運輸產業發動大規模的網釣攻擊，將上勾的目標導至惡意程式的代管網站，並下載惡意Flash檔案，進一步在受害者電腦上植入後門程式。

一旦APT3取得目標網路的存取權，就會想辦法維持其存取能力，還利用各種零時差攻擊程式持續更新後門程式，並隨時更換CnC架構，使其難以被追蹤。

此一漏洞影響Windows與Mac OS上的Adobe Flash Player版本，以及瀏覽器Chrome及IE等瀏覽器，Adobe強烈建議用戶立即更新。

專門報導電腦安全及網路犯罪的Brian Krebs指出，瀏覽器外掛程式是最受駭客與惡意程式青睞的目標之一，駭客可以透過外掛程式的漏洞來掌控系統，Flash Player即是個很好的例子，而且駭客經常針對未被揭露的Flash漏洞展開攻擊，使得Adobe不時忙於緊急更新。Krebs在今年5月決定停用Flash Player一個月的時間，實驗後發現並沒有那麼需要它。（編譯/陳曉莉）