微軟8月Patch Tuesday修補的CVE-2020-1472重大安全漏洞,可讓未授權使用者取得管理員權限來控制整個網域,漏洞發現單位Secura在GitHub公布概念驗證攻擊程式,供企業確認其網域控制器是否曝險。
Adobe很早就宣布將在今年12月31日終止對Flash Player的支援。Flash Player及AIR 32版也是最後一次更新,Adobe並未要用戶升級,而是呼籲用戶應立即移除Flash Player,因為明年1月1日起,用戶不會再獲得任何功能及漏洞修補程式。
到了EOL(end of lifecycle)當天,Adobe就會從網站上移除Flash Player下載頁。Adobe會從那天起以通知,時時提醒用戶將Flash Player移除。此外,Adobe也計畫從2021年1月12日起,就會封鎖以Flash Player播放的內容,即使用戶想用有漏洞的Flash Player來看影片也不可能。
不要以為不安裝最後一版就可防止大限到來。結束更新的程式碼早在之前幾個版本已加入Flash Player更新中,最後一版只是修改要求用戶移除的通知文字而已。
由於Flash Player漏洞過多,加上HTML5、WebGL及WebAssembly標準成熟,功能足以取代,主要瀏覽器,包括微軟IE/Edge、Google Chrome、Mozilla Firefox、Apple Safari皆早已預設不啟用,Windows 10更直接不包含Flash Player。
Adobe之所以不厭其煩要用戶快點移轉,是因為EOL將成為歹徒犯案的好時機。例如仍然有冒充Flash Player的惡意程式成功上架到App Store,誘騙不知情的用戶下載。
為了協助來不及轉換的企業,微軟仍允許用戶以IE 11或Microsoft Edge的IE模式中,以外掛模式載入Adobe Flash Player,而Chrome 76 以後的 Flash Player 預設為關閉,但Chrome會在背景安裝Adobe Flash Player,使用者可手動切換執行。
資料來源:ITHOME
線