Windows 8內置的Flash播放程序僅能透過微軟的Windows Update功能更新,但微軟預計Windows 8要等到10月26日正式上市才會啟用更新功能,因此盡管Adobe已經在8/21發佈一個0day攻擊的安全性更新,Windows 8的早期用戶仍受該漏洞的威脅。
目前除瞭Windows 8之外,Windows 7/Vista/XP、OS X及Linux等操作系統,均可以透過更新機制修補該漏洞。根據Adobe的安全通告顯示,該漏洞可能導致當機及電腦遭攻擊者控制,而且已經出現攻擊事件。
微軟發言人向媒體表示,如果有需要他們會透過Windows Update修補Flash漏洞。目前Flash的漏洞還無法修補,但會在Windows 8正式上市時發佈更新。
自從Windows 8宣佈進入RTM階段以來,Adobe總共已針對Flash漏洞發佈兩次安全更新。賽門鐵克發現,黑客團體已鎖定四個Flash 0day漏洞,而Adobe在8/14發佈的修正程序僅修好其中一個漏洞。
在報導及論壇中,許多人認為Windows 8仍未正式推出,所以微軟及Adobe無法即時修補影響不大,但也有不少人表示,RTM版本已經正式發佈給企業使用,已經有人大量用於日常工作之中,因此微軟及Adobe應該正視這個問題。
Windows 8在8/1宣佈邁入RTM階段,除瞭電腦廠商已經取得並準備預先載入要銷售的電腦內之外,從8/15起MSDN、TechNet訂閱客戶也可以取得,企業授權客戶則從8/16開始可以透過大量授權服務中心取得。
許多專傢與媒體批評微軟不該重蹈覆轍,先前蘋果Mac內置Java但又無法即時更新,導致Flashback病毒蔓延,已經做瞭一次不良示范。而Google Chrome瀏覽器同步甚或領先更新Flash播放程序則成為另一種對照。
在微軟及Adobe解決更新的問題之前,Windows 8的IE瀏覽器可以在傳統桌面環境中停用Flash播放程序,或者改用Chrome、Firefox等其他瀏覽器。Metro Style環境則可以使用白名單限制使用Flash播放程序的網站。
Orignal From: Windows 8內置Flash恐帶來0day攻擊
留言列表
