2017年10月16日AdobeFlashPlayer推出了新版本27.0.0.170并且修复了一个严重类型混淆漏洞,此漏洞在野外被发现,并且发现该漏洞用于对windows用户进行攻击。
Adobe Flash Player内存破坏漏洞(CVE-2017-11292)
发布日期:2017-10-16
受影响的软件及系统:
|
产品 |
版本 |
平台 |
|
Adobe Flash Player Desktop Runtime |
27.0.0.159 and earlier |
Windows, Macintosh |
|
Adobe Flash Player for Google Chrome |
27.0.0.159 and earlier |
Windows, Macintosh, Linux and Chrome OS |
|
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 |
27.0.0.130 and earlier |
Windows 10 and 8.1 |
|
Adobe Flash Player Desktop Runtime |
27.0.0.159 and earlier versions |
Linux |
漏洞细节:
此漏洞是对数组索引不正确验证导致的类型混淆漏洞。攻击者精心构造继承com.adobe.tvsdk.mediacore.BufferControlParameters对象导致一个错误的字节码验证异常而触发漏洞。
解决方法:
在安装漏洞相应的补丁之前,可以采用以下的临时解决方案来免受漏洞的影响:
* 不要打开不可信来源的网页和文件。
* 在浏览器中禁用Flash Player插件。
厂商状态:
2017.10.16 厂商发布安全公告APSB17-32,修复了此安全漏洞。
