返回新闻列表

卡巴斯基实验室发现并拦截了Adobe Flash Player零日漏洞

        卡巴斯基实验室启发式检测防护组件成功拦截了利用Adobe Flash软件零日漏洞而发起的攻击。卡巴斯基实验室的研究专家发现,针对这一漏洞的利用程序通过一个合法的政府网站传播,该网站旨在收集公众对违反中东国家法律行为的投诉。

        四月中旬,卡巴斯基实验室专家在分析卡巴斯基安全网络的数据时,就发现了这一不为人知的漏洞利用程序。进一步的研究显示,该程序正在利用常用多媒体软件Adobe Flash Player的一种未知漏洞。这一漏洞存在于着色器(Pixel Bender)——一种处理影像和照片的旧组件中。

        经过深入的调查发现,漏洞利用程序的传播源头是叙利亚司法部于2011年创建、用以接收有关违法行为投诉的网站。我们认为,此次攻击的目标是对叙利亚政府持有意见的政敌。

        卡巴斯基实验室的专家总共发现了两类漏洞利用程序。二者间的shellcode有所不同。shellcode是在利用软件漏洞的过程中,一小段被用作有效负载的代码。

        “第一类漏洞表现为非常简单的下载及运行有效荷载的行为,而第二类漏洞则试图与Cisco Meeting Place Express插件互动。这是一种针对联合办公的特殊Flash插件,尤其适用于通过展示者个人计算机桌面共同浏览文件和图片。尽管该插件完全合法,但是在特殊情况下,它可被用作间谍工具。此外,我们还发现只有在受攻击的计算机上安装着特定版本的Flash Player和CMP插件时,第二类漏洞才会发作。这意味着,攻击者的目标可能仅限于少数受害者”,卡巴斯基实验室漏洞研究团队经理Vyacheslav Zakorzhevsky表示。

        在发现第一类漏洞之后,卡巴斯基实验室的专家向Adobe公司其通报了这一最新漏洞。在核实卡巴斯基实验室提供的信息后,Adobe确认该漏洞为零日漏洞,并开发了相应的补丁。目前,这一补丁已在其官网上发布,CVE编号为CVE-2014-0515

        “尽管仅看到了少数几起利用该漏洞的攻击事件,我们还是强烈建议用户更新Adobe Flash Player软件的版本。很可能当该漏洞的相关信息变得人所共知时,犯罪分子会试图复制这些新漏洞利用程序,或者利用现有的变体实施其他攻击。即便已发布了针对该漏洞的补丁程序,但像Flash Player这样被广泛使用的软件需要一定时间才能在全球范围内完成更新,网络罪犯仍期望从中获利。不幸的是,此次漏洞只是暂时存在危险”,Vyacheslav Zakorzhevsky说。

        点击这里查看关于此次最新发现的Adobe Flash零日漏洞的更多信息。

        卡巴斯基实验室的专家已经是在今年第二次发现零日漏洞。2月,公司的专家们就发现了编号为CVE-2014-0497的另一Adobe Flash Player零日漏洞。该漏洞允许攻击者偷偷感染受害者的个人计算机。

启发式检测组件

        启发式检测组件是反病毒引擎的一部分。卡巴斯基实验室针对家庭和企业用户的众多解决方案,如卡巴斯基反病毒软件、卡巴斯基安全软件、卡巴斯基网络安全解决方案及其他方案中,都运用了这一反病毒引擎技术。与传统的反病毒系统一样,该系统使用特征数据库检测恶意软件。但是,反病毒技术往往需要所有恶意软件的特征,不论其关联程度有多高,而启发式检测则可以覆盖所有范围的恶意程序。运用启发式特征不仅可以检测出恶意软件,还能根据特征清单检测出恶意程序的全部组合。卡巴斯基实验室数据库早在1月份就收录了包含Adobe Flash新零日漏洞行为的启发式特征。

        此外,在卡巴斯基实验室专家进行的一项特殊测试中,卡巴斯基实验室的漏洞自动防御技术准确检测出了CVE-2014-0515漏洞的利用程序。该技术是检测未知威胁的另一强大工具。

        2013年11月,这一技术成功拦截了利用Microsoft Office软件零日漏洞发起的攻击。同样在2012年底,它主动拦截了几个恶意组件。此后经发现,这些恶意组件属于红色十月——卡巴斯基实验室研究员于2013年检测出的一种大规模网络间谍活动。