Adobe修补了Flash Player中的两个关键RCE漏洞

作为每月安全更新的一部分，Adobe发布了针对其三款产品中八个安全漏洞的补丁，包括Flash Player中的两个漏洞、ColdFusion中的四个漏洞和RoboHelp—中的两个漏洞；其中五项被评为关键。

这两个Adobe Flash Player漏洞都可以被利用在受影响的设备上远程执行代码，并且都被归类为严重漏洞。

据该公司称，据报道，这些修补过的漏洞都没有在野外被利用。

Flash播放器的关键缺陷被追踪为CVE-2017-11281和CVE-2017-11282，分别由谷歌零号项目的Mateusz Jurczyk和Natalie Silvanovich发现。

这两个安全漏洞都是内存损坏问题，可能导致远程代码执行，并影响所有主要操作系统，包括Windows、Macintosh、Linux和Chrome OS。

这些漏洞已在最新的Flash Player版本27.0.0.130中更新。

其余三个关键缺陷和一个重要缺陷存在于Cold Fusion中，包括一个关键的XML解析缺陷（CVE-2017-11286）、一个重要的XSS（跨站点脚本）缺陷（CVE-2017-11285），该缺陷可能导致信息泄露，并缓解不安全的Java反序列化，导致远程代码执行（CVE-2017-11283，CVE-2017-11284）。

这些漏洞影响所有平台，NCC集团的尼克·布洛尔、电信安全公司的丹尼尔·赛克和深度安全公司的丹尼尔·劳森已经发现并报告了这些漏洞。

这些问题已在最新的Adobe ColdFusion版本2016发布更新5和版本11更新13中修复。
其余两个缺陷：一个重要（CVE-2017-3104）和一个评级中等（CVE-2017-3105）和#8212，影响Adobe帮助创作工具RoboHelp的Windows版本。

重要的漏洞是一个输入验证漏洞，该漏洞可能允许基于DOM的跨站点脚本（XSS）攻击，而中度严重的无效URL重定向漏洞可用于钓鱼活动中，以交付恶意软件。

这些漏洞已在最新的Adobe RoboHelp版本RH2017中修补，0.2和RH12，0.4.460（修补程序）。

虽然该公司尚未发现针对这些修补漏洞的攻击，但强烈建议用户尽快修补其软件，以保护自己免受任何远程攻击。