Adobe公司今日发布Flash Player更新补丁，用于修复Hacking Team窃取的400G数据中被发现的0day漏洞。攻击者可利用该漏洞使目标机器系统崩溃并获得控制权限。

漏洞影响

这个0day漏洞由研究人员Morgan Marquis-Boire和谷歌Zero项目团队报告给了Adobe公司。Marquis-Boire和Adobe公司向Threatpost确认，这次安全更新将能够解决Hacking Team泄漏数据中的0day漏洞。Adobe公司已经确认了此漏洞，并发布了相关安全报告。

报告中说明了该漏洞可能已经被公开利用，也证实了这个漏洞已经分配了一个CVE编号，即CVE-2015-5119。此外，Adobe公司的公告也证实，包括Windows、Mac和Linux系统上所有版本的Flash Player目前都有可能受到此漏洞的威胁。

此外，赛门铁克的研究人员也确认了存在于Adobe Flash Player中的这个0day漏洞，并表示攻击者利用该漏洞能够在目标电脑上远程执行代码，并最终完全控制目标电脑。该漏洞能够在IE浏览器中最新版本的Adobe Flash（18.0.0.194）上成功利用。并且，该漏洞影响大部分浏览器，包括IE、Safari、FireFox和Chrome浏览器。

Hacking Team泄露数据中的“宝藏”

最近Hacking Team被黑导致他们400G的公司数据被泄露，这其中包括源代码、邮件以及其他一些属于监控软件公司的敏感文件。根据趋势科技的安全专家所说，被盗的数据中包括一份存在于Flash Player的0day漏洞的利用代码。除此之外，这些数据中还包括一些黑客工具以及几个针对Adobe Flash Player和Windows系统的利用代码。

研究人员发现至少存在三种不同的软件利用代码，其中两份用来攻击Adobe Flash Player，一份用来攻击微软Windows内核。

安全专家们将第二个Flash Player漏洞描述为“最近4年来最漂亮的Flash漏洞”，该漏洞尚未获取CVE编号。

*参考来源threatpost、securityaffairs、trendmicro，有适当修改，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）