Flash曝嚴重漏洞 波及eBay和Tumblr等網站
責編:admin |2014-07-09 16:17:37谷歌信息安全工程師米歇爾·斯帕格魯諾(Michele Spagnuolo)周二表示:一種與Adobe Flash文件有關的攻擊方式正導致數百萬用戶的身份認證信息面臨風險,而涉及的網站和服務包括eBay、Tumblr和Instagram。通過這種攻擊方式,攻擊者可以在Flash文件中植入惡意命令。
在對這一安全威脅進行技術分析之后,Adobe已于周二發布補丁,在很大程度上解決了這一威脅。不過,終端用戶安裝這一補丁的過程可能需要幾天至幾周,因此研究人員建議,大型網站的工程師在服務器一側進行調整,以降低風險。
目前已知eBay、Tumblr、Instagram和Olark等網站和服務可能受到影響。而攻擊者可以竊取網站發送給終端用戶的身份認證Cookies和其他數據。Twitter和谷歌的多個服務近期已針對這一漏洞進行了修復。
這種攻擊方式依賴于已存在多年的代碼行為,這是為了使普通SWF文件中的二進制內容可以轉換為完全基于字母數字的內容。這一轉換通常發生在壓縮SWF文件,使其支持JSONP技術的過程中。而這可以用于設置瀏覽器Cookies,或執行其他任務。
斯帕格魯諾開發了一款概念驗證工具Rosetta Flash。該工具使用了一種新的編碼方法,能在只包含字符的SWF文件中加入惡意命令。使用這一工具制作的SWF文件能使用訪客的Flash應用發送網絡請求,從而獲取JSONP網站設置的身份認證Cookies和其他文件。因此,如果有惡意網站集成這種SWF,那么就可以獲得此前由eBay等網站設置的身份認證Cookies,假冒用戶進行身份認證請求。