虽然最迟在2020年底Adobe就将会弃用Flash，不过Adobe还承诺，在2020年底之前，Flash Player将持续进行安全更新，比如9号，Flash Player 32.0.0.371版本就进行了安全更新。之所以这样，是由于Flash的普及率太高了，它仍然是网络攻击的首选目标。在今年5月，Adobe就被爆出了多个严重漏洞。

两个严重的越界写入漏洞（代号分别为：CVE-2020-9634，CVE-2020-9635）和一个内存损坏而导致的严重漏洞（代号：CVE-2020-9636）。CVE-2020-9634漏洞存在于特定的GIF文件的解析中，该漏洞是由于缺乏对用户提供的数据的正确验证而导致的，这可能导致写操作超出了分配对象的末尾。

而CVE-2020-9635则是出现在PDF文件解析中的特定漏洞，这是由于缺乏对用户提供的数据的正确验证而导致的，这可能导致在分配的对象开始之前进行写操作。

攻击者可以利用CVE-2020-9634，CVE-2020-9635两个漏洞在当前进程的上下文中执行代码，诱使用户打开特定文件或访问恶意页面。

而CVE-2020-9636则比较特殊，该漏洞是在释放内存后尝试访问的。这可能导致一系列恶意影响，从而导致程序崩溃以及执行任意代码，从而泄漏用户个人隐私。

另外还有CVE-2020-9633，该漏洞可能导致攻击者在当前用户的上下文中执行任意代码。

除了对32.0.0.371版本进行更新外， Adobe还修补了与Experience Manager中的六个重要的漏洞。

· CVE-2020-9643：服务器端伪造请求（SSRF），敏感信息泄漏；

· CVE-2020-9647：跨站脚本（基于DOM），浏览器中的任意JavaScript执行；

· CVE-2020-9648：跨站脚本，浏览器中的任意JavaScript执行；

· CVE-2020-9644：跨站脚本（存储），浏览器中的任意JavaScript执行；

· CVE-2020-9645：盲服务器端请求伪造（SSRF）敏感信息泄漏；

· CVE-2020-9651：跨站脚本（已反映），浏览器中的任意JavaScript执行。

缓解措施

1.将 Adobe Flash Player更新到32.0.0.387版本，该版本除了修复最近出现的漏洞外，还可以解决其它风险较高的漏洞；

2. 将Adobe Framemaker版本升级到最新版本；

3. 将Adobe Experience Manager (AEM) 版本升级到最新版本（6.5.5.0）。

弃用Flash已经是各家浏览器都在做的事情了，比如Google Chrome目前已经默认禁用Flash插件，同时搜索也将不再索引Flash内容，而微软Edge改用Chromium内核之后与Google Chrome保持一致，苹果Safar的测试版已经删除了Flash。

本文翻译自：https://securityaffairs.co/wordpress/104516/security/adobe-flash-player-framemaker-flaws.html http://fpdownload.macromedia.com/pub/labs/flashruntimes/shared/air32_flashplayer32_releasenotes.pdf如若转载，请注明原文地址：