Adobe近日发布安全公告，披露一个Zero-Day漏洞，该攻击通过把恶意Flash文件添加到邮件附件里的Excel文件中，导致受害者系统崩溃，或令攻击者完全控制受害者的系统。Adobe承诺下周将修复此漏洞。

高危漏洞存在于Flash Player、Adobe Acrobat 和Reader X中，现利用Flash进行攻击操作的行为较多。Acrobat 或 Reader的漏洞之所以暂未被攻击者利用，是因为Reader的“保护模式”会阻止该恶意漏洞的执行。

该漏洞危及众多运行Adobe Flash Player最新版本的主流平台：Windows, Mac OS X, Linux, Solaris 和 Chrome。而运行于UNIX的 Adobe Reader 9.x，Android上的Adobe Reader，以及Adobe Reader 和Acrobat 8.x暂不受影响。

卡巴斯基实验室高级研究工程师瑞尔·舒文伯格（Roel Schouwenberg）表示：“产品功能过多并不是一件好事”。舒文伯格认为微软应该允许用户关闭多余的功能。另外，Adobe应该拒绝这种多功能集成以减少攻击面。

舒文伯格透露，他能够在Windows XP上运行却不能在Windows 7上执行该漏洞。在Windows 7上运行该漏洞可能需要不同的技术。

Adobe正在进行漏洞修复工作，并将于3月21日发布Adobe Flash Player 10、Acrobat和Reader 9、10、X的漏洞补丁。在6月14日的季度更新例会时升级Adobe Reader X。

Adobe的产品安全和隐私高级主管布拉德·阿金透露，考虑到Reader X的危险级别较低，Adobe Reader X补丁发布计划因这个突如其来的更新而推迟。该不定期的更新将“造成不必要的流失和补丁管理开销”。

Qualys的首席技术官Wolfgang Kandek分析说， Reader X的安全沙盒能够阻止漏洞的执行，用户应该更新他们的软件到最新版本。

Adobe 发言人Wiebke Lips表示，Adobe仍计划在3月18号为移动设备发布Flash Player 10.2。最新版本已经修复了此漏洞。