新年首个Flash漏洞攻击曝光 360安全卫士率先防护

日前，韩国计算机应急响应小组发布了一则关于Adobe Flash Player的 0day 漏洞警告，并称早在2017年11月中旬，就有黑客利用该漏洞实施有针对性的攻击。目前，Adobe官方尚未对此漏洞发布补丁，不过国内网民无需担心，360安全卫士无需升级就能完美防御此次漏洞攻击，请用户在漏洞被修复前，确保安全使用文档和浏览网页，同时开启安全软件进行防护。

图1：360安全卫士可全面防御和拦截此次Flash漏洞攻击

360安全卫士全面拦截Flash漏洞攻击

据悉，此次被发现的漏洞被命名为“CVE-2018-4878”。利用该漏洞，攻击者可以诱导用户打开包含恶意 Flash 代码文件的 Microsoft Office 文档、网页、垃圾电子邮件等等，以此来实现攻击。Adobe官方通告也佐证了这一信息：已经有黑客对Windows用户发起了少量有针对性的攻击。这些攻击主要通过邮件方式发送嵌入恶意Flash内容的Office文档进行传播。

CVE-2018-4878漏洞爆出后，360核心安全高级威胁应对团队迅速反应，目前已截获该漏洞的在野攻击，并进行了全面分析。他们认为，攻击者的手法是经过“精心策划”的，通过即时聊天工具和邮箱向相关人员发送包含漏洞及恶意代码的excel诱饵文档，诱骗受害者打开中招。

在分析简报中，当前Adobe尚未发布官方补丁，攻击在进一步扩散中，360提醒相关单位和用户警惕来路不明的链接及文档，使用360安全卫士可以全面防御和拦截可能出现的攻击。

360将为Flash用户持续提供安全保障

由于Flash运行于浏览器之外，不受操作系统和浏览器的安全限制，因此黑客素来偏爱利用Flash漏洞展开攻击。糟糕的安全状况让Adobe黯然宣布将于2020年底停止对Flash的更新和技术支持。

虽然Flash已成“弃子”，但这并不意味着数以亿计的Flash用户“无人看护”。在Adobe宣布放弃Flash后，360公司宣布将持续为Flash用户提供安全保障，直至其彻底退出历史舞台。

图2:360承诺将为Flash用户持续提供安全保障

作为国内最大的互联网安全厂商，360公司一直关注Flash的安全研究，并已协助Flash修复了上百个安全漏洞，这一成绩在国内外各安全厂商中遥遥领先。

在Pwn2Own、HackPwn等国际黑客大赛中，360安全团队多次攻破Flash。尤其是在2017年Pwn2Own上，360攻破Falsh并荣膺“世界破解大师”总冠军。这些破解利用的漏洞被全部提交给Adobe进行修复，以确保全球Flash用户的安全。