Flash爆發0天高危漏洞 請立即更新FlashPlayer

幾天前Google稱有數百位Gmail用戶帳號遭到入侵
雖然Google說這並不是因為Gmail的漏洞所導致
但一些人依然認為是Gmail漏洞問題
到了今天問題已經明朗了



問題的源頭正是Adobe Flash所導致！
受影響的版本有OS X, Linux, Windows, Solaris上的Flash 10.3.181.16及舊版
Android平台上的Flash 10.3.185.22及舊版


它攻擊的方式是由一封釣魚郵件開始
信件的內容利用誘拐的方式
欺騙使用者點擊了一個連結
而這個連接會開啟一個Flash檔
使用Flash的Redirect對Gmail進行偽造的跨站請求
並且在這個過程中轉介到攻擊者本身的信箱當中
該樣本目前已經被提取，由於使用DoSWF方式加密
目前還無法解密，但攻擊手法已經確定

建議Google或其他同質性服務的公司
應該修改認證程序，在轉介新的授權信箱時
要求使用者動手重新再輸入一次密碼
如此這類自動授權的問題將可被有效斷絕

目前Adobe已經釋出了更新版
還有Chrome內建Flash的更新版
強烈建議馬上進行更新
以免遭到攻擊 (繼續閱讀...)

Mozilla將提醒用戶是否使用不安全版本的Flash！

有鑑於網路攻擊越來越猖獗
透過瀏覽器進行漏洞攻擊的事件愈來多
其中Adobe的Flash Player更是首當其衝！
成為被大量攻擊的眾矢之的！
面對Flash漏洞攻擊，Mozilla提出了一個解決方案



根據調查有80%的上網用戶使用含有安全疑慮Flash版本

Mozilla宣佈將會在9月9號釋出(台灣時間或許是10號)Firefox 3.5.3/3.0.14中
加入檢查Flash版本的功能，不過這功能跟想像中或許有些不同
因為它不是內建版本檢查器在Firefox中，而是藉由版本升級後
所開啟的What's New頁面來提醒使用者是否該升級Flash版本


資料來源 (繼續閱讀...)

Linux版Flash Player爆發SWF漏洞！

Flash Player被發現在處理SWF的時候，會暴露弱點而被有心人士攻擊
當Flash Player在處理一個未知的錯誤時，可能會被有心人是利用
執行任意的代碼！這個漏洞目前被定位為"高危"


使用10.0.12.36或9.0.151.0版以前Flash Player的Linux的用戶都應該盡快更新

新版下載：

10.0.12.36
http://get.adobe.com/flashplayer/

9.0.152.0
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb406791&sliceId=1 (繼續閱讀...)

Adobe Flash Player 多弱點公告發佈！

Adobe Flash Player的佔有率在瀏覽器上不分作業系統
佔有率高達98%，這個佔有率比Windows所有版本的佔有率都要來的高！


這個漏洞危險性不高，主要是被發現透過某些方法可以繞過Flash Player的安全限制
影響的範圍為所有的Flash Player V9.X的版本

1) An error while enforcing cross-domain policy files can be exploited to bypass certain security restrictions.

This is related to vulnerability #4 in:
SA28161

2) An ActionScript implementation error can be exploited to determine if a port on a remote host is opened or closed.

This is related to vulnerability #8 in:
SA28161

3) The problem is that the "FileReference.browse()" and "FileReference.download()" methods can be called without user interaction and can potentially be used to trick a user into downloading or uploading files.

要修正這個安全漏洞只需要將Flash Player更新至前不久才發佈的Flash Player V10 (繼續閱讀...)