Adobe这次算是真的破防了,CVE-2014-8439这个高危漏洞又被翻了出来。就在十天前他们刚发了十月补丁想挽救局面,结果法国研究员Kafeine在研究病毒样本时发现,利用这漏洞的恶意程序其实根本没消停,新一轮攻击立马卷土重来,Windows、Mac、Linux三大平台全都遭殃。这漏洞的原理挺绝,它在处理内存指示器的时候有个设计硬伤,攻击者只要搞一个看似无害的SWF文件发给你,只要你敢点开看,人家就能在你电脑上为所欲为。 更要命的是,这块地方是播放器的核心模块,一旦被攻破,对方拿到的权限跟你自己没啥两样,后面安个勒索软件、挖挖矿或者装个远程后门都轻而易举。 F-Secure刚测完就说那个十月补丁不靠谱,“并不完善”。Adobe那边的PSIRT团队连夜赶工确认了这事儿,直接发了一个不按计划走的紧急更新。Windows和Mac用户赶紧升级到15.0.0.239,那些还在用NPAPI扩展的人就得把老版本升级到13.0.0.258,Linux用户也别闲着,升到11.2.202.424才行。微软和谷歌也跟着凑热闹,赶紧给IE 10/11和Chrome也推送了新的安全补丁,就是想把这攻击窗口给关上。 现在用户这边得赶紧自救了。第一招是直接重启浏览器跑一遍更新,千万别中途退出提示框。第二招是去设置里把那些“允许本地数据存储”或者“沙箱外运行”的选项给关了,这是高危的雷区。第三招最绝,直接把Flash给卸载了,不用等到官方发最后的补丁再装回来;平时看视频想安全点的话,就换成HTML5播放器或者别的第三方替代方案。 展望未来的话,这事儿已经是年内第三起补丁打了还是被攻破的情况了。Adobe早说了不开发了,就是在做些维护的活儿;想彻底不挨炸最好的办法就是赶紧换用开源替代品或者浏览器的原生技术。要是还这么抱着Flash不放,下次出了漏洞可就来不及了。