上周，Adobe發布了新的安全公告，再次批量修復了數十個安全漏洞，而與此同時國外廠商已監測到此次Adobe補丁修復的CVE-2016-1019漏洞被用于惡意攻擊用戶，雖然目前的攻擊樣本對于上個月更新的Flash版本并不生效，但Adobe仍建議用戶盡快升級本月補丁或者下載最新版的Flash，徹底封堵漏洞。

眾所周知，Adobe Flash Player是電腦用戶裝機時的必備軟件之一，其在Windows、Mac等系統的普及度非常廣泛，目前全球有超過10 億用戶在 Windows 、Mac 、 Chrome OS 以及Linux 電腦上使用 Flash 。因此這款軟件也必將成為不法分子攻擊的對象，黑客利用Adobe Flash Player的漏洞植入木馬，竊取電腦中的資料信息甚至賬戶密碼，給普通用戶的個人隱私和財產安全帶來極大的隱患。有國外廠商發現，從3月31日開始有敲詐者木馬利用本次爆出的Flash 0day漏洞進行傳播。

事實上Flash的安全性一直飽受詬病，Facebook首席安全官埃里克斯 斯塔莫斯就曾向Adobe提出建議：停止修復Flash的漏洞，直接放棄這款軟件。2015年，因為Flash被發現存在嚴重的漏洞。Google和Mozilla還在各自瀏覽器中臨時禁用了Flash。

Bromium發布的一份年度安全報告顯示，2015年是Flash最糟糕的一年，Flash的漏洞數量在2015年翻了三倍。專門針對Flash發動攻擊的黑客測試和攻擊框架Metasploit當中內建的現成Flash漏洞數量，也比2014年增加了200%。

Adobe表示依然會為Flash提供支持，并且主要的支持都將集中在安全方面，Adobe稱它將會與微軟、谷歌以及全球安全廠商一起共同維護Flash安全性，安全廠商和安全研究人員為Flash的漏洞發現和修補做出了很大貢獻，2015年，谷歌和360分別報告了105個和61個Flash漏洞，排名前兩位。僅去年12月，360Vulcan團隊就曾一次性向Adobe提交了34個高危漏洞，團隊成員Yuki Chen一人就提交了29個漏洞。

Adobe為了完善自身的安全體系，付出了巨大的努力，在過去一年中，Flash漏洞被各公司和團隊的白帽子大量發現并修復，同時，Flash也聽取微軟、Google在內的公司安全團隊的建議，為自身的產品添加緩和措施“大殺器”，試圖封堵漏洞的利用方式，一次性了結一種類型的攻擊方法，使得Flash漏洞被惡意利用的難度增加。

Adobe最近的一次為Flash添加“大殺器”是今年的3月份，在最新版的Adobe Flash Player 21.0.0.182中，這次堪稱是對Flash安全性的一次“大修”，一次性使得很多Flash漏洞難以使用，包括已經被利用的CVE-2016-1019漏洞和4月份修補的絕大多數漏洞在新版Flash中都失去作用，或者利用的難度極大提升。

　　圖1：360Vulcan團隊在Pwn2Own上提交的3個Flash高危漏洞

不過在稍后舉行的Pwn2own 2016比賽上，360Vulcan團隊還是發現了可以在最新版Flash上可以成功利用的三個高質量安全漏洞CVE-2016-1015、CVE-2016-1016和CVE-2016-1017，利用這些漏洞攻破了Flash的最新版本。在4月8日的這次最新安全公告中，Adobe也修復了這3個漏洞，使得安全性進一步得到提升。