经过 Computerworld US

Adobe在Flash Player中修补了12个漏洞,包括继承自错误的Microsoft开发代码,以及黑客至少一周内的漏洞。

在一个 安全咨询 周四下午发布,Adobe简要阐述了十几个漏洞,10个被挂钩的可能导致劫持系统或在机器上执行自己的恶意软件的黑客。

漏洞影响了Flash Player的Windows,Mac和Linux版本。仍然是修补程序:Solaris Edition。

上周,Adobe已经承诺,它将在7月30日修补闪存后,报告对Flash和Adobe Reader的攻击攻击,一个流行的PDF查看器。黑客一直在攻击运行Flash的用户通过托管在受损的网站上托管的驱动器,并定位通过Flash解释器中的错误播放到该程序的错误。

读卡器和Adobe Acrobat今天是最新的。

Adobe还在Flash中处理了三个漏洞,这是公司开发人员在构建程序时使用错误的Microsoft代码“库”的结果。在周三,Adobe确认它已使用微软的缺陷开发代码 - 特别是活动模板库(ATL),Visual Studio附带的代码库 - 创建Flash Player和ShockWave播放器。后者被纠缠在一起。

在星期二,Microsoft承认ATL包含多个漏洞,至少有一个Harking返回到2008年初。虽然Microsoft修补了Visual Studio消除了ATL中的错误,但这些更新不会使用缺陷的库修复软件。相反,供应商必须使用修补的Visual Studio重新编译其代码,然后分发新的安全软件。

这就是Adobe昨天在工作时间表时做了什么。

根据Brad Arkin,Adobe的产品安全和隐私主任,Microsoft在微软宣布缺陷之前的两周内,Microsoft于7月10日通知他的ATL漏洞。

该时间表与Microsoft在周二暗示的情况下不同,当公司的安全响应中心董事Mike Reavey表示,他的安全团队自2008年初以来一直在调查ATL缺陷,并与第三方供应商协调,以审查其代码过去几个月。

“[Microsoft]迅速移动,将资源加上帮助我们在我们的产品上进行分类,”Arkin说,adobe花了大量的时间和资源,弄清了哪些产品包含错误的atl代码。在其投资组合中拥有200多种产品,Adobe被迫优先考虑,因此精力集中在其最广泛使用的软件上,例如Flash Player,Shockwave Player,Reader和Acrobat。

前两个包括ATL漏洞,而第二对没有。

“艰难的部分是确定易受伤害的东西,”arkin说。 “重建测试版很容易,但我们不得不确保[那]工作,并确保我们没有打破它。”

Arkin拒绝批评Microsoft为ATL错误,而是称赞Adobe的合作伙伴在运行到周四的修补程序中共享信息。但他承认微软的缺陷是麻烦的。 “在多个产品中复制的代码中的错误化合物复制了分类所需的工作。这是很多工作。”

Adobe打算在仅用于8月11日的Windows的更新中修补ATL漏洞,但是当Microsoft搬迁自己的发布时,Adobe遵循了衣服。 “我们试图在他们准备好之前发布或发布信息,”Arkin说。

Flash Player 9.0.246.0和10.0.32.18对于Windows,Mac和Linux可以从中下载 Adobe的网站。或者,用户可以使用Flash的内置自动更新机制来抓取新版本。

笔记: 我们可以在通过我们网站上的链接购买时赚取佣金,而不额外费用给您。这不会影响我们的编辑独立性。 了解更多.

阅读下一个......