|
Flash Player漏洞可窃取用户数据 已发补丁
Flash Player存在一个新漏洞,该漏洞可能允许攻击者远程接管和控制Mac电脑、Windows PC以及 Linux 计算机。Adobe发布Flash Player所有平台的安全更新补丁,修补包括一项可让黑客窃取使用者网站登录信息在内的三项漏洞,并催促用户尽快升级。
近日Adobe披露Flash Player存在一个新漏洞,该漏洞可能允许攻击者远程接管和控制 Mac 电脑、Windows PC以及 Linux 计算机。Adobe发布Flash Player所有平台的安全更新补丁,修补包括一项可让黑客窃取使用者网站登录信息在内的三项漏洞,并催促用户尽快升级。
该安全更新旨在修补包括 CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三项漏洞,受影响的产品包括Windows及Mac平台的Adobe Flash Player 14.0.0.125,以及Linux平台的Adobe Flash Player 11.2.202.378。Adobe建议使用者应尽速更新,以防黑客取得受害系统控制权限。
三项安全漏洞中,CVE-2014-4671漏洞风险程度高过其他两个。Google安全工程师Michele Spagnuolo 指出,这是一个跨站伪造请求漏洞(cross-site request forgery, CSRF),可能让攻击者窃取网站登录信息。
Spagnuolo并对此制作名为Rosetta Flash的概念验证攻击工具,可以将包含恶意指令码的Adobe Shockwave Flash文件转成只以英文字母及数字组成的文件,以攻击使用JSONP的网站。一旦这类网站的端点具有这项漏洞,即可通过Flash应用针对网站执行任意网域呼叫,绕过名为Same Origin Policy的防范政策,借此拦截网站的cookie、取得敏感资料,再传送到攻击者控制的网站。
他指出,除了Google 帐号管理(accounts.google.com)、Books、Maps等服务网站及大型网站如eBay、Instagram或Tumblr等都受到该项漏洞影响。Google及Tumblr先后完成修补。
通过这种攻击方式,攻击者可以在Flash 文件中植入恶意命令。在对这一安全威胁进行技术分析之后,Adobe 已于周二发布补丁,在很大程度上解决了这一威胁。不过,终端用户安装这一补丁的过程可能需要几天至几周,因此研究人员建议,大型网站的工程师应抓紧
服务器端进行调整,以降低风险。
Adobe指出,Adobe Flash Player 14.0.0.125用户应升级到14.0.0.145,而Adobe Flash Player 11.2.202.378版本则应升级到11.2.202.394版。
受影响的浏览器遍及Internet Explorer、GoogleChrome、Firefox、Apple的Safari及Opera。但Internet Explorer 10(IE10) 、IE11浏览器则会自动更新到最新Windows版,各自包含Windows 8.0及8.1版的最新Flash Player,而Google_chrome也会自动更新到最新Windows、Mac及Linux版Flash Player。
这表示IE 10之前的版本、Firefox、Safari及Opera用户应该立即到Adobe Flash Player下载中心下载安装最新版Adobe Flash Player。
Adobe提醒,其他受影响的产品还包括Adobe AIR 14.0.0.110 及之前版本SDK、Adobe AIR 14.0.0.110 及之前版本SDK and Complier,和Android平台上的Adobe AIR 14.0.0.110及之前版本。三项产品用户都需升级到Adobe AIR 14.0.0.137的对应版本。
责编:李玉琴
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|