Flash 再曝嚴重漏洞,波及 eBay 和 Tumblr 等網站

作者 | 發布日期 2014 年 07 月 09 日 15:34 | 分類 網路 , 軟體、系統
adobe flash

Google 訊息安全工程師米歇爾·斯帕格魯諾(Michele Spagnuolo)周二表示:一種與 Adobe Flash 文件有關的攻擊方式正導致數百萬用戶的身份認證訊息面臨風險,而涉及的網站和服務包括 eBay、Tumblr 和 Instagram。通過這種攻擊方式,攻擊者可以在 Flash 文件中植入惡意命令。



在對這一安全威脅進行技術分析之後,Adobe 已於周二發布修補檔案,某種程度上解決了這一威脅。不過,終端使用者安裝這一更新檔的過程可能需要幾天至幾周,因此研究人員建議,大型網站的工程師在服務器一側進行調整,以降低風險。

目前已知 eBay、Tumblr、Instagram 和 Olark 等網站和服務可能受到影響。而攻擊者可以竊取網站發送給終端使用者的身份認證 Cookies 和其他資料。Twitter 和 Google 的多個服務近期已針對這一漏洞進行了修復。

這種攻擊方式依賴於已存在多年的程式碼中,這是為了使普通 SWF 文件中的二進制內容可以轉換為完全基於字母數字的內容。這一轉換通常發生在壓縮 SWF 文件,使其支持 JSONP 技術的過程中。而這可以用於設置瀏覽器 Cookies,或執行其他任務。

關鍵字: ,

發表迴響