Adobe Systems系统公司上周四发布了一个安全公告,警告Shockwave Player中的严重零日漏洞,该漏洞可以导致程序崩溃,并且攻击者能完全控制受害者的系统。
Adobe表示目前还没有发现任何利用该漏洞的攻击,但是安全专家表示以该零日漏洞为目标的利用代码已经出现。该零日漏洞影响Windows和Mac OS X上运行的Adobe Shockwave Player 11.5.8.612及其早期版本。
Adobe在其安全咨文中表示,“我们目前正在制定更新的计划,以解决Adobe Shockwave Player中的这个零日漏洞。”
该漏洞是被Abysssec的研究人员发现的,Abysssec是一个进行渗透测试、逆向工程和编码项目的咨询公司。在咨文中,该公司表示攻击者可以远程利用Shockwave Player的memory corruption错误。该漏洞存在于Shockwave Player的插件装载Adobe Director视频文件的方式中。
Abysssec表示Windows 7和Windows Vista中的安全保护机制不能防止该漏洞。
丹麦漏洞清理公司Secunia将该漏洞的级别定为“非常严重”。在其咨文中,Secunia表示该Shockwave Player 漏洞是由数组索引(array-indexing)错误所造成的。