谷歌信息安全工程师米歇尔·斯帕格诺洛(michele spagnuolo)周二在博客称,flash player的升级补丁存在漏洞。用户在访问ebay,tumblr,twitter或instagram等网站后,其计算机可能被骇客控制,数百万用户的身份认证因此面临风险。
从adobe的公告栏中我们了解到,这个提供给windows,mac和linux计算机用户的补丁可以将软件升级到版本14.0.0.145。目前adobe已经将这次威胁设置为最高级别并于周二发出新的安全补丁,谷歌chrome和微软internet explorer用户将会自动安装新的安全补丁,但未及时下载这一补丁的用户仍存在安全风险。
研究人员建议,大型网站的工程师应及时对服务器进行调整,主动降低风险。目前,twitter和谷歌的多个服务器已经对这一漏洞进行了修复。
导致这一漏洞的直接原因是常年以来,普通swf文件均依赖代码转换为全部基于字母数字的内容。但在压缩swf文件使其支持jsonp技术的转换过程中能够设置浏览器cookies,或执行其它任务。
一款名为rosetta flash的概念验证工具通过使用一种新的编码方法,能在只包含字符的swf文件中加入恶意命令。这样制作的swf文件就能假冒访客的flash发送网络请求,从而获得jsonp网站设置的用户身份认证cookies和其它文件。
![linux-svn卸载与安装[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)