Flash

Gigamon Applied Threat Research(ATR)根据Microsoft Office文档,确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞(CVE-2018-15982)允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码,从而获取对系统命令行的访问权限。
360威胁情报中心在2018年11月29日捕获到两例使用Flash 0day漏洞配合微软Office Word文档发起的APT攻击案例,攻击目标疑似乌克兰。这是360威胁情报中心本年度第二次发现在野0day漏洞攻击。
昨日深夜,Adobe发布适用于Windows,macOS,Linux和Chrome OS的Adobe Flash Player安全更新,修补了一枚类型混淆漏洞(CVE-2018-15981)。该漏洞影响Adobe Flash Player 31.0.0.148及以前版本,成功利用会导致任意代码执行。
通过使用Open Graph嵌入外部视频,在Facebook Wall上写入存储型XSS。当用户点击播放视频时,XSS将在facebook.com上执行。
由于Adobe采取了各种措施来加强Flash的安全性,因此最近Flash Player的漏洞数量有所下降,然而Flash Player偶尔还是会有新的漏洞冒出来。本文将重点讨论漏洞利用技术如何绕过这种长度检查机制。