上周對Adobe公司來說應該是忙碌的一周，雖說漏洞對于Adobe來說早已經是家常便飯，但可遠程執(zhí)行惡意代碼、獲取系統(tǒng)控制權的高危漏洞并不多見。

[[126948]]

嚴重：第二個0day漏洞

上周二，Adobe公司緊急發(fā)布了一個高危漏洞補丁，修復了編號為CVE-2015-0310的安全漏洞。然而一波未平一波又起，在剛剛過去的上周六，Adobe又一次更新了Flash Player軟件，這次更新的目的是修復被編號為CVE-2015-0311的0day嚴重漏洞。這個漏洞是由知名安全研究人員Kafeine提交的。

該漏洞正被攻擊者廣泛的利用中，通過發(fā)動強迫下載(drive-by-download)攻擊絕大部分Windows系統(tǒng)。該漏洞已被公司標記為了高危，也就意味著攻擊者可以執(zhí)行惡意代碼，甚至是在用戶完全不知情的情況下。

這個漏洞是Flash長期存在的未公開漏洞，允許攻擊者遠程獲取PC控制權;Windows、OS X及Linux的Flash版本都包含該漏洞。

科普：什么是強迫下載攻擊?

強迫下載(drive-by-download)：攻擊者在受害者不知情的情況下在受害者機器上下載惡意軟件，然后攻擊者即可遠程利用該漏洞控制受害者設備。

受影響的系統(tǒng)

所有版本的Windows操作系統(tǒng)
所有版本的IE瀏覽器
所有版本的Mozilla Firefox

值得一提的是，谷歌Chrome并不受影響。

受影響的Adobe Flash Player版本

Adobe Flash Player16.0.0.287和Windows、Macintosh版本的FlashPlayer
Adobe Flash Player13.0.0.262和之前的13.x版本
Adobe Flash Player11.2.202.438和Linux版本的FlashPlayer

鑒于該漏洞還正在被攻擊者廣泛利用中，Adobe公司強烈建議用戶盡快將軟件更新到最新版本，以免潛在危險的發(fā)生。