Google 讯息安全工程师米歇尔·斯帕格鲁诺(Michele Spagnuolo)周二表示:一种与 Adobe Flash 文件有关的攻击方式正导致数百万用户的身份认证讯息面临风险,而涉及的网站和服务包括 eBay、Tumblr 和 Instagram。通过这种攻击方式,攻击者可以在 Flash 文件中植入恶意命令。
在对这一安全威胁进行技术分析之后,Adobe 已于周二发布修补档案,某种程度上解决了这一威胁。不过,终端使用者安装这一更新档的过程可能需要几天至几周,因此研究人员建议,大型网站的工程师在服务器一侧进行调整,以降低风险。
目前已知 eBay、Tumblr、Instagram 和 Olark 等网站和服务可能受到影响。而攻击者可以窃取网站发送给终端使用者的身份认证 Cookies 和其他资料。Twitter 和 Google 的多个服务近期已针对这一漏洞进行了修复。
这种攻击方式依赖于已存在多年的程式码中,这是为了使普通 SWF 文件中的二进制内容可以转换为完全基于字母数字的内容。这一转换通常发生在压缩 SWF 文件,使其支持 JSONP 技术的过程中。而这可以用于设置浏览器 Cookies,或执行其他任务。
