Google曝Flash文件漏洞 成千網站遭威脅

yumr

Google曝Flash文件漏洞 成千網站遭威脅
　　據外電報道，　美國國家計算機網絡應急技術協調處理中心(US-CERT)週三向全美計算機用戶發出兩個警報。

　　第一個警報指出RealPlayer版本11環境中存在安全漏洞。目前針對RealPlayer軟件進行的網絡攻擊不在少數。

　　第二個警報指出Flash (.swf)文件中存在漏洞，該漏洞允許遠程未經認證的入侵者對系統執行跨站腳本(XSS)攻擊，美國國家計算機網絡應急技術協調處理中心相關人員指出Flash製作工具可能產生存在漏洞的Flash文件。

　　Google安全專家稱成千Flash文件存在漏洞，許多網站遭威脅。Google信息安全高級工程師Rich Cannings指出自動生成SWF文件的軟件，比如Dreamover、Adobe Acrobat，InfoSoft FusionCharts 和Techsmith Camtasia等都存在漏洞但一些已經被修復。

　　針對該漏洞的攻擊是跨站腳本(XSS)攻擊的一種，攻擊者通過注入帶有危險的代碼運行對應的SWF文件，以獲取用戶Cookie，進而獲取用戶權限。

　　Adobe公司建議用戶更新至最新版本，並指出在 Adobe Flash Player 中已識別出關鍵的漏洞, 這使得成功利用這些潛在漏洞的攻擊者能夠控制受影響的系統。 攻擊者要利用這些潛在漏洞, 必須由用戶在 Flash Player 中加載惡意 SWF。 建議用戶將 Flash Player 更新至對於他們的平台可用的最新版本。