各位 unwire.pro 的讀者大概都有使用過 Apple 的 iOS 裝置,大家亦會留意到其裝置均不支援 Adobe 的 Flash。事實上,Apple 的決定不是單單是為推廣 HTML5,更重要是出於安全性的考量。近日 Adobe 就為 Flash 推出了更新,是次更新之中修補的其中一漏洞為嚴重安全漏洞,名為 CVE-2014-4671 的安全漏洞,可讓攻擊者竊取用戶在網站上的登入資訊。
受影響系統與瀏覽器數量眾多
Google 的資訊安全工程師 Michele Spagnuolo 指出,此為「跨網站的偽造要求」漏洞 (cross-site request forgery,CSRF)。透過此漏洞,用戶在網站上的登入資訊可被黑客輕易竊取。
Spagnuolo 針對此漏洞製作了一個名為 Rosetta Flash 的概念驗證攻擊工具,可將含惡意指令碼的 Adobe Shockwave Flash 檔案轉成是只由英文字母及數字組成的檔案,繼而攻擊使用 JSONP 的網站,獲得其用戶群的資料。若發現網站端此漏洞,黑客即可駭進,藉此攔截網站的 cookie 並獲得用戶敏感資料,再傳送到被黑客控制的網站。
Spagnuolo 續指,除 Google 帳號管理、旗下服務如 Books、Maps等及大型網站如 eBay、Instagram 或 Tumblr 等都受到此漏洞影響。而 Google 及 Tumblr先後完成修補。
而受影響的瀏覽器則遍及 IE、Chrome、Firefox、Safari 及 Opera,基本上就是大部份瀏覽器。不過 IE10 及 IE11 都會自動更新到最新的 Flash 版本,而 Chrome 亦會自動更新到最新的 Windows、Mac 及 Linux 版的 Flash Player。
換言之,各位仍在使用 XP 或 IE 10之前版本、Firefox、Safari 及 Opera用戶應立即到 Adobe Flash Player 下載中心更新其 Adobe Flash Player。
Source:Computerworld