Adobe十一月的周二补丁日(Patch Tuesday)更新包更新内容较少,但Adobe建议用户为Windows客户端的PDF产品Reader和Acrobat,Windows、macOS、Linux及Chrome OS上的Flash Player,以及Windows与macOS客户端的Photoshop应用修复程序。
Adobe表示,影响Reader和Acrobat的漏洞可评级为“极危险”,一部分原因是由于概念验证漏洞的利用代码是公开且可用的。
编码为“CVE-2018-15979”的漏洞可用于泄露系统中微软NT LAN Manager(NTLM)身份验证的哈希密码,该系统将其用于单点登录(SSO)。
五月,CheckPoint研究人员详细介绍了影响Adobe及Foxit PDF阅读器的漏洞,该漏洞可用于泄露Windows 凭证(NTLM 哈希)。此次攻击在PDF中嵌入了远程文档或文件,然后注了恶意内容,一旦目标用户打开该PDF,便会在不知情的情况下泄露Windows 凭证(NTLM 哈希)。
当时,Adobe公布了缓解该漏洞的步骤,以防止用户打开PDF文档里的链接。Adobe建议管理员利用同样的步骤缓解新披露的漏洞CVE-2018-15979。
Adobe在2019.008.20081版本Acrobat与Reader的连续版中修复了该问题,并将其固定在每个2017及2015经典版的产品中。
尽管在历史更新中,Flash Player每月都修复了数十个漏洞,但本月的周二补丁日更新包仅包含一个漏洞的修复程序。而十月的更新包中无任何安全修复程序。
在桌面上运行的Flash Player31.0.0.122及更早版本,以及Google Chrome、Microsoft Edge、与 InternetExplorer 11中的插件均受该信息泄露漏洞影响。
近年来,由于各网站寻求其他技术,各浏览器开发商对自身产品进行调整,使Flash Player产品内容运行难以为继,FlashPlayer的使用率稳步下跌。Flash Player官方将于2020年底宣布停运,届时Microsoft、Apple、Google与Mozilla将联合宣布不再对该浏览器插件提供支持。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
