Adobe為Flash零日漏洞發(fā)布緊急補丁,該漏洞已為攻擊者利用攻擊外事部門。
近幾個月來,Adobe Flash零日漏洞時有出現(xiàn),最新修補的漏洞已被用于盯準外事部門進行的攻擊,該攻擊通過網(wǎng)絡釣魚的形式展開,被稱為“Operation Pawn Storm”。
根據(jù)趨勢科技的說法,Adobe承認了該漏洞的存在并發(fā)布幾個關鍵漏洞的補丁,包括被攻擊利用的CVE-2015-7645。
該攻擊具有較強的政治目的,北約、白宮、烏克蘭和俄羅斯收到了帶有最近新聞頭條事件的郵件,但鏈接卻導向惡意Flash SWF文件,偽造Outlook Web App登錄界面。.
早在9月29日,谷歌就提醒Adobe Flash的漏洞問題,這是在該漏洞被利用的兩周前。
Malwarebytes實驗室高級安全研究人員Jean Taggart稱,對于企業(yè)來說,特別是政府來說,是時候棄用Flash了。
“組織機構應盡快遷移到HTML5,政府尤為如此,”Taggart說道。“Flash如果不是惡意攻擊的首選目標,也算是一個選擇。企業(yè)應該禁用它,或者至少用采用一些反利用的減災機制。”"
Taggart坦陳從Flash過渡出去的成本和難度會很高,但企業(yè)、政府機構至少要有一個計劃或者意識到可能會出現(xiàn)的問題。
“如果遷移過程很長,可以部署利用緩解程序,采用Flash的風險已經(jīng)高過該技術產(chǎn)品本身帶來的效益,”Taggart說道。“遷移到HTML5是一個較好的選擇。