Flash曝严重漏洞 波及eBay和Tumblr等网站

Flash曝严重漏洞 波及eBay和Tumblr等网站

安全漏洞访客2021-10-12 8:58:009744A+A-

  谷歌信息安全工程师米歇尔·斯帕格鲁诺(Michele Spagnuolo)周二表示:一种与Adobe Flash文件有关的攻击方式正导致数百万用户的身份认证信息面临风险,而涉及的网站和服务包括eBay、Tumblr和Instagram。通过这种攻击方式,攻击者可以在Flash文件中植入恶意命令。

  在对这一安全威胁进行技术分析之后,Adobe已于周二发布补丁,在很大程度上解决了这一威胁。不过,终端用户安装这一补丁的过程可能需要几天至几周,因此研究人员建议,大型网站的工程师在服务器一侧进行调整,以降低风险。

  目前已知eBay、Tumblr、Instagram和Olark等网站和服务可能受到影响。而攻击者可以窃取网站发送给终端用户的身份认证Cookies和其他数据。Twitter和谷歌的多个服务近期已针对这一漏洞进行了修复。

  这种攻击方式依赖于已存在多年的代码行为,这是为了使普通SWF文件中的二进制内容可以转换为完全基于字母数字的内容。这一转换通常发生在压缩SWF文件,使其支持JSONP技术的过程中。而这可以用于设置浏览器Cookies,或执行其他任务。

  斯帕格鲁诺开发了一款概念验证工具Rosetta Flash。该工具使用了一种新的编码方法,能在只包含字符的SWF文件中加入恶意命令。使用这一工具制作的SWF文件能使用访客的Flash应用发送网络请求,从而获取JSONP网站设置的身份认证Cookies和其他文件。因此,如果有恶意网站集成这种SWF,那么就可以获得此前由eBay等网站设置的身份认证Cookies,假冒用户进行身份认证请求。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 温人择沓2022-06-01 06:39:38
  • 证Cookies,假冒用户进行身份认证请求。
  • 笙沉池木2022-06-01 13:47:18
  • 恶意命令。  在对这一安全威胁进行技术分析之后,Adobe已于周二发布补丁,在很大程度上解决了这一威胁。不过,终端用户安装这一补丁的过程可能需要几天至几周,因此研究人员建议,大型网站的工程师在服务器一侧进行调整,以降低风险。  目前已知eBay、Tumblr、Instagram和Olark
  • 离鸢谜兔2022-06-01 05:25:13
  •   谷歌信息安全工程师米歇尔·斯帕格鲁诺(Michele Spagnuolo)周二表示:一种与Adobe Flash文件有关的攻击方式正导致数百万用户的身份认证信息面临风险,而涉及的网站和服务包括eBay、Tumblr和Instagram。通
  • 听弧孤望2022-06-01 14:42:21
  • 以转换为完全基于字母数字的内容。这一转换通常发生在压缩SWF文件,使其支持JSONP技术的过程中。而这可以用于设置浏览器Cookies,或执行其他任务。  斯帕格鲁

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理