才说今年10月没有漏洞可补 ，Adobe本周一就释出了 紧急安全更新 ， 修补已被开采的Flash Player零时差漏洞。

此一安全漏洞的编号为CVE-2017-11292，是由卡巴斯基实验室所提报。该实验室是在调查骇客集团BlackOasis 利用恶意Word文件来散布FinSpy间谍程式时发现了利用该漏洞的零时差攻击程式。

根据Adobe的说明，该漏洞将允许骇客执行程式，已被用来发动目标式攻击，并锁定Windows作业系统。不过该漏洞显然影响了众多的作业系统，因为Adobe周一的更新涵盖了Windows、macOS、Linux与Chrome OS上的Flash Player。

由英国业者Gamma打造的FinSpy专门出售给全球的政府机关，以用来监控特定对象，通常局限在该国境内；然而，卡巴斯基实验室自去年就开始追蹤的BlackOasis却是个例外，它针对全球的目标发动攻击以搜集情报。

卡巴斯基实验室表示，BlackOasis采用最新版的FinSpy，备有各种反分析技术以躲避侦测，安装在受害者电脑上的FinSpy会连结位于瑞士、保加利亚与荷兰的C&C服务器，以传送资料或等待进一步的指令，受害者则分布在俄国、伊拉克、伊朗 、阿富汗、沙特阿拉伯、荷兰及英国等。

此外，这已是FinSpy今年以来第三次利用零时差漏洞展开攻击 ，该实验室相信这样的搭配将会愈来愈盛行。