Adobe 修補產品漏洞 部份漏洞來自微軟 ATL 程式庫

Adobe 日前修補了 Flash Player 中的 12 個漏洞，其中 3 個來自有問題的微軟開發程式碼，以及 1 個讓駭客破解至少 1 週以上的漏洞。

Adobe 先前發佈過安全警告，表示在  Flash Player 與 Acrobat Reader 中存在嚴重漏洞，可能讓攻擊者利用控制使用者電腦，或造成當機。影響範圍包括 Windows、Macintosh 與 Linux 作業系統上的 Flash Player v9.0.159.0 與 v10.0.22.87 版本，以及 Windows、Macintosh 與 UNIX 上 Adobe Reader 及 Acrobat v9.1.2 版本。

日前發佈的安全資訊通報 (security advisory) 上，Adobe 對修補的漏洞提出簡短說明，其中 10 個漏洞可能導致系統遭到劫持，或由駭客執行惡意程式碼。

這次 Adobe 處理的 Flash 漏洞中，有 3 個漏洞源自於該公司開發者使用了有問題的微軟程式庫。Adobe 證實這套有問題的開發程式碼，是包含在 Visual Studio 中的 Active Template Library (ATL)。Adobe 在開發 Flash Player 與 Shockwave Player 時採用了這套程式庫。

微軟承認 ATL 包含了多項漏洞，其中至少有 1 個漏洞的發現更可回朔自 2008 年。雖然微軟為 Visual Studio 提供了修補，以解決 ATL 中的臭蟲，但該更新無法修正以有問題的程式庫所開發的軟體。因此，各家廠商必須使用修補過的 Visual Studio 重新編譯產品程式碼，並加以散佈。

Adobe 產品安全與保密總監 Brad Arkin 表示，微軟在 7 月 10 日告知 Adobe 有關 ATL 漏洞的訊息。這個日期正是微軟發佈此一漏洞的 2 個多星期前。然而，根據微軟安全應變中心主任 Mike Reavey 的說法，其安全團隊早於 2008 年就開始調查 ATL 的漏洞，並與第三方廠商共同合作，在過去數個月內檢視程式碼。

Arkin 表示，微軟很快速地找齊資源協助 Adobe 查驗其產品。他說，在查出哪些產品包含問題 ATL 程式碼上，Adobe 花費了可觀的時間與資源。由於 Adobe 擁有超過 200 項產品，因此必須排定先後順序，先行著重在 Flash Player、Shockwave Player、Reader 與 Acrobat 這些使用最為廣泛的軟體上。

Arkin 拒絕評論微軟的 ATL 問題，轉而讚揚 Adobe 夥伴在軟體修補準備中所分享的資訊，他承認微軟的漏洞的確是個困擾。因為出問題的是跨越多種產品重複出現的程式碼，使得產品檢查的工作更加繁複。

相關網址：
1.Adobe 修補 12 個 Flash 臭蟲，3 個來自微軟
2.駭客瞄準 Adobe Acrobat Reader、Flash