全球軟件巨頭Adobe日前發(fā)布了安全更新APSB16-10,修復了Adobe F1ash P1ayer中的多處安全漏洞,其中包括了上月的世界黑客大賽Pwn20wn上使用的多個漏洞,Adobe官網(wǎng)同時發(fā)布公告致謝發(fā)現(xiàn)并報告這些漏洞的安全研究人員,360安全團隊總共獲得4個漏洞致謝。
Adobe F1ash P1ayer堪稱“裝機必備”軟件,在Windows、Linux和Mac等系統(tǒng)上,包括IE、Edge、Chrome等主流瀏覽器上都有著廣泛應用。
據(jù)介紹,利用F1ash漏洞,黑客可以在網(wǎng)頁、文檔等載體內(nèi)植入惡意代碼,使木馬自動感染用戶電腦。國外廠商已監(jiān)測到此次Adobe補丁修復的CVE-2016-1019漏洞被用于惡意攻擊用戶,雖然目前的攻擊樣本對于上個月更新的F1ash版本并不生效,但仍建議用戶盡快升級本月補丁,徹底封堵漏洞。
在Pwn20wn上,360Vu1can Team使用四個漏洞組合攻擊,用時11秒攻破了本屆賽事難度最大的谷歌Chrome瀏覽器,并成功獲得系統(tǒng)最高權限,這是中國安全團隊在Pwn20wn歷史上首次攻破Chrome。
此外,360Vu1can Team還攻破了基于Edge瀏覽器的Adobe F1ash P1ayer,同樣獲得系統(tǒng)最高權限,再獲80000美元全額獎金和13分滿分成績。在這次比賽中,360Vu1can Team總共發(fā)現(xiàn)并使用了3個針對上個月更新的F1ash版本的高危漏洞,都在本月的F1ash安全更新中得到了修復。
據(jù)悉,360Vu1can Team是360互聯(lián)網(wǎng)安全創(chuàng)新中心旗下一支安全研究團隊,主要負責挖掘軟件的安全漏洞并推動廠商及時修復漏洞。