2011-06-06

Flash爆發0天高危漏洞 請立即更新FlashPlayer



幾天前Google稱有數百位Gmail用戶帳號遭到入侵
雖然Google說這並不是因為Gmail的漏洞所導致
但一些人依然認為是Gmail漏洞問題
到了今天問題已經明朗了



問題的源頭正是Adobe Flash所導致
受影響的版本有OS X, Linux, Windows, Solaris上的Flash 10.3.181.16及舊版
Android平台上的Flash 10.3.185.22及舊版


它攻擊的方式是由一封釣魚郵件開始
信件的內容利用誘拐的方式
欺騙使用者點擊了一個連結
而這個連接會開啟一個Flash檔
使用Flash的Redirect對Gmail進行偽造的跨站請求
並且在這個過程中轉介到攻擊者本身的信箱當中
該樣本目前已經被提取,由於使用DoSWF方式加密
目前還無法解密,但攻擊手法已經確定

建議Google或其他同質性服務的公司
應該修改認證程序,在轉介新的授權信箱時
要求使用者動手重新再輸入一次密碼
如此這類自動授權的問題將可被有效斷絕

目前Adobe已經釋出了更新版
還有Chrome內建Flash的更新版
強烈建議馬上進行更新
以免遭到攻擊

5 則留言:

  1. 看到癮科技上有一篇和你這篇一樣的文章,但屬名似乎不是在網路上看過你使用的筆名

    只是剛好看到,所以告知一下:
    http://chinese.engadget.com/2011/06/08/flash-0-day-vulnerability-flashplayer/

    回覆刪除
  2. 謝謝告知,那篇其實是我投稿的文章

    回覆刪除
  3. 感謝分享!這篇文章會幫到很多人!︿︿

    回覆刪除