Adobe Systems有限公司已经发布一个关键的 Adobe Flash Player更新补丁,并且在它的建议中公布新的组成内容,即添加了优先级评分机制以便补丁管理员们能够估计更新补丁的严重性。
该软件巨人修补了Flash Player的两个漏洞,这两个漏洞可以被攻击者用来执行恶意代码或是造成拒绝服务的状况。Adobe公司表明这些错误之一可能被攻击者通过未详细说明的途径来获得敏感信息。周一发布的更新补丁影响在Windows、Macintosh、Linux和Solaris平台,以及在Google的安卓设备上运行Flash Player软件的用户。
Adobe公司谈到,它不知道存在任何尝试瞄准上述任一个漏洞的exploit被广泛传播。丹麦的漏洞交换站点Secunia发布了一个Flash Player公告,给出该更新补丁“特别关键”的评分。Secunia站点表明这些问题来自Flash Player的Matrix3D引擎,其被设计用于定位及导向三维显示的物体。
该Flash Player更新补丁是第一个使用Adobe公司的优先级评分系统的。本周发布的该关键更新补丁被给于“优先级2”的评分,意味着当前还没有已知的exploits被广泛传播,并且Adobe公司预期没有任何瞄准该缺陷的exploits将要出现。
在一篇关于这个新评分系统的博客中,Adobe公司的产品安全事故响应团队(Product Security Incident Response Team,PSIRT)经理David Lenoe谈道该优先级评分系统提供给补丁管理员一种更好的方式,以便对补丁测试及部署过程进行优先级排序。
“所有关键的安全更新补丁不是在同等情况下创建的”,Lenoe wrote写到。“例如,如果某个Flash Player问题被广泛地传播和利用,解决该漏洞的更新补丁比起其它补丁应该得到更高的优先级,比如说用在Photoshop软件上关键漏洞的补丁。”
被攻击者盯上且广泛传播的漏洞会被给予“优先级1”的评分,意味着管理员们应该在72小时以内或者尽可能快地安装该更新补丁。“优先级3”的评分用于那些可选择安装的更新,因为从历史数据上来看该软件没有成为攻击者的目标。
“我们将会基于相关产品的历史攻击模式、漏洞类型、受影响的平台、以及任何可能到位的缓解措施进行优先级评分”,Lenoe说到。“这是一个全新的系统,所以我们可能会发现需要做出一些调整。”
上个月Adobe公司在Mozilla公司的Firefox浏览器中引入对它的Flash Player保护模式的支持功能。该公司一直在为浏览器组件设计一个沙箱环境。该保护模式在Google公司的Chrome浏览器也可使用,将Flash Player与关键的进程进行隔离,这使得攻击者突破Flash组件进入受害者的系统更为困难。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
掌握这些特性 更好地选择漏洞管理工具
漏洞管理产品是如何工作的?在评估厂商漏洞管理产品时,企业信息安全专业人员该着重看哪些要素?
-
安全更新很困难 但不打补丁风险更大
近来,联想自动更新系统的恶意软件问题让一些人开始担心自动更新相关的风险。但专家称,现在的安全更新程序比以往都更好,而不修复漏洞的风险更大。
-
微软“但闻新版笑,不见旧版哭” Windows7、8.1再现零日漏洞
这是一个月内的第三次,微软没有赶在谷歌90日公开披露的最后期限前发布补丁,导致Project Zero披露另一个Windows零日漏洞,但专家称这个漏洞可能对攻击者没有什么价值。
-
调查显示:2013年Web应用安全修复平均需要11天
根据瑞士信息安全公司High-Tech Bridge的最新“WEB应用安全趋势”报告,2012年为一个关键的安全漏洞推出补丁的平均时间为17天,2013年缩短到11天。