Flash 被爆顶级漏洞 威胁百万用户

谷歌信息安全工程师米歇尔·斯帕格诺洛(Michele Spagnuolo)周二在博客称,Flash Player的升级补丁存在漏洞。用户在访问eBay,Tumblr,Twitter或Instagram等网站后,其计算机可能被骇客控制,数百万用户的身份认证因此面临风险。

从Adobe的公告栏中我们了解到,这个提供给Windows,Mac和Linux计算机用户的补丁可以将软件升级到版本14.0.0.145。目前Adobe已经将这次威胁设置为最高级别并于周二发出新的安全补丁,谷歌Chrome和微软Internet Explorer用户将会自动安装新的安全补丁,但未及时下载这一补丁的用户仍存在安全风险。

研究人员建议,大型网站的工程师应及时对服务器进行调整,主动降低风险。目前,Twitter和谷歌的多个服务器已经对这一漏洞进行了修复。

导致这一漏洞的直接原因是常年以来,普通SWF文件均依赖代码转换为全部基于字母数字的内容。但在压缩SWF文件使其支持JSONP技术的转换过程中能够设置浏览器Cookies,或执行其它任务。

一款名为Rosetta Flash的概念验证工具通过使用一种新的编码方法,能在只包含字符的SWF文件中加入恶意命令。这样制作的SWF文件就能假冒访客的Flash发送网络请求,从而获得JSONP网站设置的用户身份认证Cookies和其它文件。

时间: 2024-10-27 09:13:59

Flash 被爆顶级漏洞 威胁百万用户的相关文章

Flash被爆顶级漏洞 威胁百万用户

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 谷歌信息安全工程师米歇尔·斯帕格诺洛(Michele Spagnuolo)周二在博客称,Flash Player的升级补丁存在漏洞.用户在访问eBay,Tumblr,Twitter或Instagram等网站后,其计算机可能被骇客控制,数百万用户的身份认证因此面临风险. 从Adobe的公告栏中我们了解到,这个提供给Windows,Mac和Lin

Adobe Flash再爆零日漏洞 或被用于恶意广告攻击

继1月23日公布Adobe Flash漏洞之后,趋势科技的于近日率先发现一种新的Adobe Flash零日漏洞,这个被标识为"CVE-2015-0313"的漏洞会影响Adobe Flash最新版本及之前的版本,并可能被应用于恶意广告攻击.由于Adobe公司还没有发布针对此漏洞的正式补丁或解决方案,趋势科技建议用户暂时禁用或阻止受影响版本的Flash Player. 目前,已有恶意网站利用该漏洞进行攻击.趋势科技监测发现,国外某热门网站的访问者会被重定向到一系列被篡改的URL,并最终被重

Google Play爆大漏洞 用户已购应用消失

本文讲的是 :   Google Play爆大漏洞 用户已购应用消失 ,  [IT168 评论]如果哪天早上你起来发现你的App Store中购买的应用全部消失而且已经购买的应用也无法升级你会怎么办?恐怕你会欲哭无泪.以头抢地吧. 这件事偏偏就发生在了国外Google Play用户的身上,昨日有消息称Google Play出现重大漏洞,导致用户已购买的应用全部消失,在已安装和升级列表中也无法找到已购买的应用,有部分用户连他们的全部应用都看不到,甚至还有用户反映他们现在连免费应用都无法下载. 这一

ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏

本文讲的是ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏, 在安全研究员发现图片处理库ImageMagick存在严重漏洞.可导致服务器内存数据泄漏错误后,雅虎工程师决定把自家网站上的这个库换掉.而由于ImageMagick的高权限,用户收件箱里的邮件图片可能会泄露. ImageMagick擅长处理Web服务器上的各种图片格式,是全球范围都很流行的Web开发者工具包,国内许多互联网公司也都在用.但它在安全上不太行,曾经出现过许多漏洞,其中最著名的一个叫魔图攻击(ImageTra

小米今日再爆另一安全漏洞 可致用户资料大量泄露

小米今日再爆另一安全漏洞 可致用户资料大量泄露[TechWeb报道]5月14日消息,继昨日小米被爆出现一安全漏洞致用户账号信息泄露之后,今日乌云网再次 曝光了小米又一新漏洞,该漏洞显示小米科技某安全漏洞影响88W+360W数据,其漏洞类型为用户资料大量泄漏,同时厂商已经确认.目前小米官方还未对这一新漏洞进行回应.昨日晚间,有微博爆料称小米论坛用户数据库疑似泄露,涉及800万小米论坛注册用户.小米今日早间发布公告,承认确有部分2012年8月前注册的论坛账号信息被非法获取.

NBC被黑威胁用户网银安全 Websense实时漏洞防护保障用户安全

近日,美国三大商业http://www.aliyun.com/zixun/aggregation/22265.html">广播电视公司之一的NBC(美国全国广播公司)主页被黑,同时遭殃的还有旗下的一些节目网站,如www.jaylenosgarage.com等.黑客攻占网页后向其浏览者输出恶意内容,全球著名社交网站Facebook甚至因此禁止用户访问或发布NBC.com网站上的链接(见图1). (截图1:Facebook对NBC页面加以封锁) 在攻击发生后的极短时间内,Websense安全实

看完CNCERT周报再来看CNVD周报 报告提示Flash及Http2.0漏洞值得关注

国家信息安全漏洞共享平台(CNVD)发布2016总第32期周报,报告内容显示本周信息安全漏洞威胁整体评价级别为 中.  本周共收集.整理信息安全漏洞 365 个,其中高危漏洞 183 个.中危漏洞 165 个.低危漏洞 17 个.漏洞平均分值为 6.12分. 本周收录的漏洞中,涉及 0day 漏洞 166 个(占 45%).其中互联网上出现"Cacti graph_view.php SQL 注入漏洞.TCCMSV9.0 最新版 SQL 注入漏洞"等零日代码攻击漏洞,请使用相关产品的用户

Adobe Flash最新零时差漏洞现身Windows平台

上周,Adobe Flash又出现新的重要漏洞,影响层面几乎遍及所有微软Windows 用户,需特别防范! Flash"零时差"漏洞袭来 黑客可轻松植入恶意程序 近日,Adobe 在Microsoft Windows平台的Flash软件中发现一个新的漏洞,黑客可通过该漏洞在Windows 电脑上轻易执行恶意程序,由于被执行的程序将享有与用户相同的权限,使得黑客能在用户电脑上轻易植入更多恶意程序! 与过去所发现的Adobe漏洞不同的是:这次漏洞是"零时差"漏洞,也就是

Shellshock漏洞威胁超心脏出血:已被黑客攻击

北京时间9月26日上午消息,研究人员周四发布警告称,黑客已经开始利用最 新的"Shellshock"电脑漏洞,借助蠕虫病毒扫描有漏洞的系统, 然后感染这些系统.影响范围Shellshock是继今年四月的"心脏流血"漏洞之后,业界发现的首个重大互联网威胁.由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中,因此影响范围十分广泛.最新的这项漏洞的威胁程度之 所以堪比"心脏流血",一定程度上 是因为Shellshock所影响的B