Adobe修補了一個跨平臺Flash Player零日漏洞，該漏洞允許潛在的遠端攻擊者在易受攻擊的機器上觸發執行任意程式碼。

跟蹤到的CVE-2018-15982安全問題出現在Flash Player 31.0.0.153中，以及安裝在執行Windows、macOS和Linux的計算機上的早期版本。

據Adobe稱，已經有報告稱，在惡意製作的包含零日程式碼的Microsoft Office文件中，存在針對CVE-2018-15982的漏洞。

零日攻擊已經以Flash Active X物件的形式被觀察到，它將刪除能夠在32位和64位架構上執行的後門木馬。

奇虎360核心安全、Gigamon應用威脅研究和360威脅情報是第一批觀察到在野外被積極利用的0day漏洞公司，它們隨後於11月29日(週四)向Adobe的產品安全事件響應團隊(PSIRT)報告了這一問題。

特權升級bug還會影響未打補丁的Flash Player版本

奇虎360 Core Security表示:“發起攻擊的誘餌檔案是一份精心偽造的員工問卷，利用最新的Flash零日漏洞CVE-2018-15982，以及一個具有自毀功能的定製木馬。”

此外，“所有技術細節都表明，APT集團決心不惜任何代價達成妥協，但同時也非常謹慎。”

Adobe還修補了一個被跟蹤為CVE-2018-15983的遠端特權升級漏洞，該漏洞可能會讓潛在的攻擊者危及脆弱的系統。

特權升級問題存在於Flash Player載入DLL庫時所使用的不安全方式中，這將允許攻擊者使用惡意製作的DLL檔案，在當前使用者的上下文中在受損的機器上執行任意程式碼。

建議所有使用adobe flash player桌面執行時(適用於Windows、macOS和Linux)的使用者使用內建更新機制或通過adobe flash player下載中心更新到修補後的32.0.0.101版本。