今天取到了一份swf格式的exploits，測試了一下在Flash Player 9.0.115的結(jié)果。

Adobe Flash Player 9.0.115 在播放惡意構(gòu)造的swf時(shí)，會(huì)自動(dòng)下載一個(gè)可執(zhí)行文件并執(zhí)行，而我拿到的這個(gè)swf文件會(huì)自動(dòng)下載一個(gè)downloader并運(yùn)行，然后再由這個(gè)downloader下載其他預(yù)先指定的木馬程序，相當(dāng)?shù)奈ｋU(xiǎn)。

這個(gè)漏洞出現(xiàn)在Adobe Flash Player 9.0.115和更早版本，其實(shí)早在4月8號，Adobe已經(jīng)放出了9.0.124的版本更新，也發(fā)布了安全公告。問題相當(dāng)嚴(yán)重，所以務(wù)必請趕緊更新到9.0.124版本。

下面是我實(shí)際運(yùn)行的截圖，執(zhí)行了downloader后先后下載了0.exe 到 20.exe一共21的木馬程序。downloader還會(huì)不斷的檢測taskmgr.exe、procexp.exe等進(jìn)程管理程序，發(fā)現(xiàn)后立即殺掉管理工具。一旦中招相當(dāng)麻煩。我嘗試將procexp.exe改名后可以運(yùn)行起來。

PS：其中使用Flash 8 Professional的開發(fā)工具也存相關(guān)問題。版本需要升級到8.0.42.0，AIR 的版本需要到1.01

我能做些什么？

1.請?jiān)诰W(wǎng)頁Object標(biāo)簽中的codebase修改需要version=9,0,124,0。

2.在js引入方式中修改requiredMajorVersion和requiredRevision為相應(yīng)版本，swfobject也是一樣修改。