adobe关于flash的停用公告（Player中的两个代码执行漏洞）

Adobe昨日发布安全更新，解决了Flash Player中的两个代码执行漏洞和Application Manager中的一个DLL劫持漏洞。该漏洞可允许恶意网站在您的计算机上执行任意代码。

Flash Player 32.0.0.255中的两个漏洞分别为CVE-2019-8070（一种免费使用后的错误）和CVE-2019-8069（同一起源方法执行问题），可被用来执行任意代码。

虽然两者都被Adobe归类为“关键”，但它们的优先级分别为2（Linux系统上为3），这意味着它们不会很快在野外被利用。

据研究员Eduardo Braun Prado称，在Adobe Application Manager（特别是应用程序的安装程序）中，该公司修补了一个DLL劫持漏洞，该漏洞可能导致任意代码执行。安全漏洞被视为“重要”，优先级为3。

这些类型的漏洞通常涉及有权访问目标系统的攻击者，该攻击者会在合法库之前加载恶意DLL文件。这可以提升他们的执行代码权限。

Adobe在一份公告中表示，“此漏洞只影响与Adobe应用程序管理器一起使用的安装程序。“CVE-2019-8076不会影响现有的应用程序管理器，也不会针对运行早期版本的用户，”。

微软的Patch Tuesday更新解决了80个漏洞，其中包括两个在攻击中被利用的 Windows漏洞。

文章翻译自：Security Week