Flash Player又有零時差漏洞，一個月來第3個！

Adobe在今年1月下旬相繼修補兩個Flash Player零時差漏洞之後，周一（2/2）再度發出安全通報指出，Windows與Mac平台的最新Adobe Flash Player 16.0.0.296與之前的版本含有一個重大漏洞，除了會導致當機外，駭客也有機會掌控受駭系統，並已傳出攻擊行動。

此一新的漏洞編號為CVE-2015-0313，率先發現駭客針對該漏洞進行攻擊的是趨勢科技。趨勢科技威脅分析師Peter Pi指出，他們發現那些造訪影片分享網站dailymotion.com的使用者被引導至其他網站，最後會連到一個代管SWF_EXPLOIT.MJST攻擊程式的惡意網站，SWF_EXPLOIT.MJST鎖定的即是CVE-2015-0313漏洞。

Pi說，這一連串的流量引導行為是來自於相關網站的廣告平台，而非網站的內容，因此受影響的並不只是dailymotion.com，也有其他網站遭到牽連。

趨勢在今年的1月14日便偵測到相關攻擊，並在1月27日看到惡意網站的流量高峰，絕大多數的造訪者來自美國，已觀察到約3294起與該攻擊程式有關的案例，並且相信還有其他的攻擊行動鎖定此一零時差漏洞，同時建議使用者暫時關閉Flash Player。

Adobe也證實該漏洞已成攻擊目標，表示駭客是藉由偷渡式下載攻擊Windows 8.1暨之前平台上所執行的IE與Firefox瀏覽器，預計本周即會釋出修補程式。（編譯/陳曉莉）