【香港商報網訊】Flash是網絡攻擊的首選目標。盡管早在2017年Adobe就宣布了計划將Flash推入使用壽命終止狀態，即在今年年底不再更新或分發Flash  Player。不過仍有許多用戶在使用Adobe。Adobe在5月被爆出兩個嚴重的越界寫入漏洞（代號分別為：CVE-2020-9634，CVE-2020-9635）和一個內存損壞而導致的嚴重漏洞（代號：CVE-2020-9636）。6月9日，Adobe發布了安全更新，修復了漏洞。

　　對于CVE-2020-9634，特定的漏洞存在于GIF文件的解析中，該問題是由于缺乏對用戶提供的數據的正確驗證而導致的，這可能導致寫操作超出了分配對象的末尾。

　　對于CVE-2020-9635，PDF文件的解析中存在特定漏洞。問題是由于缺乏對用戶提供的數據的正確驗證而導致的，這可能導致在分配的對象開始之前進行寫操作。

　　攻擊者可以利用CVE-2020-9634，CVE-2020-9635兩個漏洞在當前進程的上下文中執行代碼，誘使用戶打開特定文件或訪問惡意頁面。

　　對于CVE-2020-9636，該漏洞是在釋放內存後嘗試訪問的。這可能導致一系列惡意影響，從導致程序崩潰到潛在地導致執行任意代碼-甚至啟用完整的遠程代碼執行功能。

　　受影響的產品版本

　　1.包括Adobe Flash Player桌面運行時（Windows，macOS和Linux），適用于Google Chrome的Adobe  Flash Player（適用于Windows，macOS，Linux和Chrome OS）以及適用于Microsoft Edge / Internet  Explorer 11（適用于Windows 10和8.1）的Adobe Flash Player，均適用于32.0版.0.330及更早版本

　　2.適用于Windows的Adobe Framemaker版本2019.0.5及更低版本

　　升級修復版本

　　Adobe Flash  Player更新到32.0.0.387版本，加強安全性。該版本除了修復最近爆出的漏洞，還可以解決歷史上風險較高的產品中的漏洞。

　　Adobe Framemaker版本升級到2019.0.6版本或最新版本

　　其他漏洞

　　Adobe還修補了與Experience  Manager（其用于構建網站，移動應用程序和表格的內容管理平台）中的六個重要級別的漏洞。這些包括可能允許敏感信息泄露的服務器端請求偽造故障（CVE-2020-9643和CVE-2020-9645）和跨站點腳本漏洞（CVE-2020-9647，CVE-2020-9648，CVE-2020-9651和CVE-2020-9644），可以在瀏覽器中啟用任意JavaScript執行。

　　受影響的產品版本

　　Adobe Experience Manager (AEM)所有平台6.5版本

　　升級修復版本

　　建議所有用戶迅速更新到AEM 最新版本（目前最新版本為：6.5.5.0），加強安全性。