Google曝Flash文件漏洞 成千網站遭威脅
Google曝Flash文件漏洞 成千網站遭威脅
據外電報道, 美國國家計算機網絡應急技術協調處理中心(US-CERT)週三向全美計算機用戶發出兩個警報。
第一個警報指出RealPlayer版本11環境中存在安全漏洞。目前針對RealPlayer軟件進行的網絡攻擊不在少數。
第二個警報指出Flash (.swf)文件中存在漏洞,該漏洞允許遠程未經認證的入侵者對系統執行跨站腳本(XSS)攻擊,美國國家計算機網絡應急技術協調處理中心相關人員指出Flash製作工具可能產生存在漏洞的Flash文件。
Google安全專家稱成千Flash文件存在漏洞,許多網站遭威脅。Google信息安全高級工程師Rich Cannings指出自動生成SWF文件的軟件,比如Dreamover、Adobe Acrobat,InfoSoft FusionCharts 和Techsmith Camtasia等都存在漏洞但一些已經被修復。
針對該漏洞的攻擊是跨站腳本(XSS)攻擊的一種,攻擊者通過注入帶有危險的代碼運行對應的SWF文件,以獲取用戶Cookie,進而獲取用戶權限。
Adobe公司建議用戶更新至最新版本,並指出在 Adobe Flash Player 中已識別出關鍵的漏洞, 這使得成功利用這些潛在漏洞的攻擊者能夠控制受影響的系統。 攻擊者要利用這些潛在漏洞, 必須由用戶在 Flash Player 中加載惡意 SWF。 建議用戶將 Flash Player 更新至對於他們的平台可用的最新版本。
