Flash零时攻击现踪，Adobe忙修补

Adobe发出安全公告修补Windows、Mac、Linux及 Chrome OS版一项已经出现精准攻击的重大Flash安全漏洞。

Adobe指出，上述操作系统的Adobe Flash Player 21.0.0.242及以前的版本存在CVE-2016-4171，目前该公司发现网络上已经有针对这项漏洞发动的精准攻击，可导致受害电脑当机，并使骇客取得系统控制权。Adobe将该漏洞风险列为重大，并预计最快在6月16日于本月的安全更新中加以修补。

首先发现攻击行动的 卡巴斯基安全研究室（Kaspersky Labs）相信这是一个名为ScarCruft的团体所为。它是最近才出现的进阶持续性威胁（APT）的骇客组织；除了本次行动外，研究员Costin Raiu指出，这个组织今年内还策划两次Adobe Flash Player与一次微软Internet Explorer (IE)的持续性攻击。其中，两次Flash攻击名为破晓行动（Operation Daybreak）及冥界行动（Operation Erubus）乃于2016年3月间同时发动，分别攻击Flash Player一个零时攻击及旧漏洞CVE-2016-4117，前者更锁定知名企业而来。

此外，该组织也可能涉及4月间针对Flash Player CVE-2016-0147的零时攻击。安全公司指出，ScarCruft的受害者遍及俄罗斯、罗马尼亚、韩国、中国、印度等多个国家。

卡巴斯基也证实微软安全软件Microsoft EMET可以防范这波攻击。使用者也可关闭Flash Player防止入侵。

有鉴于Flash Player长期以来的安全性及效能问题，苹果也宣布最新版操作系统macOS Sierra中的Safari 10将预设关闭Flash外挂。