Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
Previous Issue

Adobe 修補產品漏洞 部份漏洞來自微軟 ATL 程式庫

Adobe 日前修補了 Flash Player 中的 12 個漏洞,其中 3 個來自有問題的微軟開發程式碼,以及 1 個讓駭客破解至少 1 週以上的漏洞。

Adobe 先前發佈過安全警告,表示在  Flash Player 與 Acrobat Reader 中存在嚴重漏洞,可能讓攻擊者利用控制使用者電腦,或造成當機。影響範圍包括 Windows、Macintosh 與 Linux 作業系統上的 Flash Player v9.0.159.0 與 v10.0.22.87 版本,以及 Windows、Macintosh 與 UNIX 上 Adobe Reader 及 Acrobat v9.1.2 版本。

日前發佈的安全資訊通報 (security advisory) 上,Adobe 對修補的漏洞提出簡短說明,其中 10 個漏洞可能導致系統遭到劫持,或由駭客執行惡意程式碼。

這次 Adobe 處理的 Flash 漏洞中,有 3 個漏洞源自於該公司開發者使用了有問題的微軟程式庫。Adobe 證實這套有問題的開發程式碼,是包含在 Visual Studio 中的 Active Template Library (ATL)。Adobe 在開發 Flash Player 與 Shockwave Player 時採用了這套程式庫。

微軟承認 ATL 包含了多項漏洞,其中至少有 1 個漏洞的發現更可回朔自 2008 年。雖然微軟為 Visual Studio 提供了修補,以解決 ATL 中的臭蟲,但該更新無法修正以有問題的程式庫所開發的軟體。因此,各家廠商必須使用修補過的 Visual Studio 重新編譯產品程式碼,並加以散佈。

Adobe 產品安全與保密總監 Brad Arkin 表示,微軟在 7 月 10 日告知 Adobe 有關 ATL 漏洞的訊息。這個日期正是微軟發佈此一漏洞的 2 個多星期前。然而,根據微軟安全應變中心主任 Mike Reavey 的說法,其安全團隊早於 2008 年就開始調查 ATL 的漏洞,並與第三方廠商共同合作,在過去數個月內檢視程式碼。

Arkin 表示,微軟很快速地找齊資源協助 Adobe 查驗其產品。他說,在查出哪些產品包含問題 ATL 程式碼上,Adobe 花費了可觀的時間與資源。由於 Adobe 擁有超過 200 項產品,因此必須排定先後順序,先行著重在 Flash Player、Shockwave Player、Reader 與 Acrobat 這些使用最為廣泛的軟體上。

Arkin 拒絕評論微軟的 ATL 問題,轉而讚揚 Adobe 夥伴在軟體修補準備中所分享的資訊,他承認微軟的漏洞的確是個困擾。因為出問題的是跨越多種產品重複出現的程式碼,使得產品檢查的工作更加繁複。


相關網址:
1.Adobe 修補 12 個 Flash 臭蟲,3 個來自微軟
2.駭客瞄準 Adobe Acrobat Reader、Flash




OSSF Newsletter : 第 132 期 找個合用的開放源碼心智圖軟體

Category: FOSS News