Flash曝嚴重漏洞 波及eBay和Tumblr等網站

新浪科技訊 北京時間7月9日上午消息，谷歌信息安全工程師米歇爾·斯帕格魯諾(Michele Spagnuolo)周二表示，一種與Adobe Flash檔案有關的攻擊方式正導致數百萬用戶的身份認證信息面臨風險，而涉及的網站和服務包括eBay、Tumblr和Instagram。

通過這種攻擊方式，攻擊者可以在Flash檔案中植入惡意命令。在對這一安全威脅進行技術分析之后，Adobe已於周二發布補丁，在很大程度上解決了這一威脅。不過，終端用戶安裝這一補丁的過程可能需要幾天至幾周，因此研究人員建議，大型網站的工程師在伺服器一側進行調整，以降低風險。

目前已知eBay、Tumblr、Instagram和Olark等網站和服務可能受到影響。而攻擊者可以竊取網站發送給終端用戶的身份認證Cookies和其他數據。Twitter和谷歌的多個服務近期已針對這一漏洞進行了修復。

這種攻擊方式依賴於已存在多年的代碼行為，這是為了使普通SWF檔案中的二進制內容可以轉換為完全基於字母數字的內容。這一轉換通常發生在壓縮SWF檔案，使其支持JSONP技術的過程中。而這可以用於設置瀏覽器Cookies，或執行其他任務。

斯帕格魯諾開發了一款概念驗證工具Rosetta Flash。該工具使用了一種新的編碼方法，能在只包含字元的SWF檔案中加入惡意命令。使用這一工具製作的SWF檔案能使用訪客的Flash應用發送網絡請求，從而獲取JSONP網站設置的身份認證Cookies和其他檔案。因此，如果有惡意網站整合這種SWF，那麼就可以獲得此前由eBay等網站設置的身份認證Cookies，假冒用戶進行身份認證請求。(維金)