Flash曝严重漏洞 波及eBay和Tumblr等网站

7月9日上午消息,谷歌(571.09,&">nbsp;-11.16, -1.92%)信息安全工程师米歇尔·斯帕格鲁诺(Michele Spagnuolo)周二表示,一种与Adobe(71.14, -1.54, -2.12%)Flash文件有关的攻击方式正导致数百万用户的身份认证信息面临风险,而涉及的网站和服务包括eBay、Tumblr和Instagram。

通过这种攻击方式,攻击者可以在Flash文件中植入恶意命令。在对这一安全威胁进行技术分析之后,Adobe已于周二发布补丁,在很大程度上解决了这一威胁。不过,终端用户安装这一补丁的过程可能需要几天至几周,因此研究人员建议,大型网站的工程师在服务器一侧进行调整,以降低风险。

目前已知eBay、Tumblr、Instagram和Olark等网站和服务可能受到影响。而攻击者可以窃取网站发送给终端用户的身份认证Cookies和其他数据。Twitter(37.41, -2.82, -7.01%)和谷歌的多个服务近期已针对这一漏洞进行了修复。

这种攻击方式依赖于已存在多年的代码行为,这是为了使普通SWF文件中的二进制内容可以转换为完全基于字母数字的内容。这一转换通常发生在压缩SWF文件,使其支持JSONP技术的过程中。而这可以用于设置浏览器Cookies,或执行其他任务。

斯帕格鲁诺开发了一款概念验证工具Rosetta Flash。该工具使用了一种新的编码方法,能在只包含字符的SWF文件中加入恶意命令。使用这一工具制作的SWF文件能使用访客的Flash应用发送网络请求,从而获取JSONP网站设置的身份认证Cookies和其他文件。

时间: 2024-10-25 02:24:10

Flash曝严重漏洞 波及eBay和Tumblr等网站的相关文章

Flash 漏洞危及 eBay 和 Tumblr 等网站

据国外媒体近日报道,谷歌信息安全工程师米歇尔·斯帕格鲁诺(Michele Spagnuolo)表示,一种与Adobe公司Flash文件有关的攻击方式正导致数百万用户的身份认证信息面临风险,而涉及的网站和服务包括 eBay.Tumblr和Instagram等.此前,4月,Flash曾爆出漏洞可导致黑客远程控制Mac.Windows及Linux系统的电脑. 目前已知eBay.Tumblr.Instagram等网站和服务可能受到影响.而攻击者可以窃取网站发送给终端用户的身份认证Cookies和其他数据

LastPass 曝 0day 漏洞,账号能被恶意网站访问

Google Project Zero 黑客 Tavis Ormandy 报告在流行密码管理工具 LastPass 中发现了一个高危0day 漏洞,允许恶意网站完整访问用户的账号.漏洞已经报告给了 LastPass,细节没有披露.巧合的是另一位安全研究人员 Mathias Karlsson 也报告了 LastPass 的一个类似漏洞,目前还不清楚两个漏洞是否相同. Karlsson 在其博客上描述了他的发现:LastPass的密码自动填写功能存在bug,允许恶意网站欺骗 LastPass 相信它

Adobe提醒用户Flash和Reader再曝安全漏洞

2月13日消息,据国外媒体报道,Adobe日前再次提醒用户,旗下Acrobat Reade和Flash Player曝出严重安全漏洞. 日前,Adobe已经发布了Flash Player补丁程序,并建议用户立即升级到最新版10.0.45.2. 至于Acrobat Reader和Acrobat补丁,要等到下周二才能发布.受影响的版本包括: Reader 9.3 for Windows.Mac和Unix Acrobat 9.3 for Windows和Mac Reader 8.2 for Windo

Adobe Flash 再曝严重漏洞 专家建议卸载

Adobe周二发布安全公报,确认Windows.Mac和Linux等所有版本的Flash都存在一个安全漏洞.Adobe表示,已注意到这一漏洞的利用方法被公布,而该公司计划于7月8日发布补丁.近期,面向政府提供监控软件的意大利公司Hacking Team遭到黑客攻击.在分析该公司泄露数据的过程中,信息安全人员注意到,该公司曾发现Flash的这一安全漏洞. https://yqfile.alicdn.com/bcd8dc963ba21098d60a45c004c5eb6ab966720e.png"

Adobe Flash再曝严重漏洞 专家建议卸载

本周二,Adobe发布安全公报,确认Windows.Mac和Linux等所有版本的Flash都存在一个安全漏洞.Adobe表示,已注意到这一漏洞的利用方法被公布,而该公司计划于7月8日发布补丁. 近期,面向政府提供监控软件的意大利公司Hacking Team遭到黑客攻击.在分析该公司泄露数据的过程中,信息安全人员注意到,该公司曾发现Flash的这一安全漏洞. Adobe并未透露,这一漏洞是否已被广泛利用.不过该公司承认,通过这一漏洞可以导致软件崩溃,而黑客很可能获得被攻破系统的控制权. Adob

勒索软件指向Flash与Silverlight漏洞

本文讲的是 :   勒索软件指向Flash与Silverlight漏洞 ,  [IT168 资讯]随着Angler与其它多种漏洞工具包将Flash与Silverlight漏洞纳入清单,我们需要时刻关注最新补丁以避免受到影响. 勒索软件攻击活动近来持续兴起,而人们给出的主要应对方式在于建立强大的备份策略并开始争论是否该为其交付赎金.不过除了问题本身,我们也应该认真考虑如何利用良好的补丁管理策略以抢先一步解决问题. ▲ 过去几个月以来,众多主流漏洞工具包已经将勒索软件纳入清单.这些工具包主要着眼于指

PNG 图片处理库 libpng 曝出漏洞,已初步修复

图片处理库libpng日前曝出漏洞,且需要尽快得到修复.最大的问题在于,libpng的普及范围实在太过广泛--浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具.音乐播放器等每款操作系统都离不开的应用程序. 经过精心构建的图片能够导致应用甚至服务器进程发生崩溃. 首先强调,这不是什么好消息:图片处理库libpng日前曝出漏洞,且需要尽快得到修复. 最大的问题在于,libpng的普及范围实在太过广泛--浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具.音乐播放器等每款操作系统都离

趋势科技杀毒软件被曝严重漏洞,黑客能够窃取你的所有密码

如果你电脑上安装了趋势科技(Trend Micro)的杀毒软件,那么此时你需要当心啦.因为你的电脑可能会被远程劫持,甚至通过一个网站就能感染任何恶意软件,这都是因为存在于趋势科技安全软件中的一个严重漏洞. 趋势科技杀软曝严重漏洞 著名杀毒软件制造商兼安全公司趋势科技发布了一个紧急补丁,以此来修复其杀毒软件产品中存在的几个严重漏洞,这些漏洞允许黑客远程执行任意命令,并可以窃取用户使用其杀毒软件中内置的密码管理器所保存的密码. 这个密码管理工具是与其主要的杀毒软件绑定在一起的,用于存储用户密码,工作

开源软件再曝重大漏洞 “幽灵”可远程控制Linux服务器

本文讲的是开源软件再曝重大漏洞 "幽灵"可远程控制Linux服务器,大多数Linux系统中广泛使用的一个组件存在严重漏洞(CVE-2015-0235),攻击者只需发送一封恶意邮件即可远程控制系统.披露该漏洞 的安全厂商Qualysg于周二表示,此漏洞存在于GNU发布的glibc(C运行库,负责定义系统调用)中,被称为"幽灵"(Ghost). 红帽.Debian.Ubuntu和Novell已经发布了更新补丁,建议系统管理员尽快打上. 该漏洞最早于2000年就出现在gl