新闻来源:ZDNet(台湾)
研究员指出,Adobe Flash的安全政策有漏洞,可能导致骇客操纵浏览器处理Flash档的方式,造成访客浏览使用者上传内容的网站时涉险。
Foreground Security资深研究员Mike Bailey周三接受访问时表示,问题出在Adobe Flash的原始安全政策。他说:「Adobe应修改Flash Player处理安全政策的方式,不该允许任意的内容在未经许可的情况下,迳自存取应用程式。」
Bailey指出,Flash Player的预设状态是什麽都信任,但应该「只信任获使用者允许的」。
例如,某人可能上传看似某社群网站的图片,但其实却是一个有问题的Flash档,一旦开启就会在浏览器内执行恶意程式码。Foreground Security资讯长Mike Murray说,任何人只要阅览该图片,电脑就可能中毒。
阅读全文...
#!/usr/bin/env python
#
# *** Acrobat Reader - Collab getIcon universal exploiter ***
# evil_pdf.py, tested on Operating Systems:
# Windows XP SP3 English/French
# Windows 2003 SP2 English
# with Application versions:
# Adobe Reader 9.0.0/8.1.2 English/French
# Test methods:
# Standalone PDF, embedded PDF in Firefox 3.0.13 and Internet Explorer 7
# 24/06/2009 - Created by Ivan Rodriguez Almuina (kralor). All rights reserved.
# [Coromputer] raised from the ashes.
#http://www.coromputer.net/CVE-2009-0927_package.zip
back: http://milw0rm.com/sploits/2009-CVE-2009-0927_package.zip
# milw0rm.com [2009-09-03]
之前,安全人员透露了一个严重的"clickjacking"跨浏览器攻击漏洞,该漏洞影响所有主流桌面平台,包括,IE, Firefox, Safari, Opera 以及 Adobe Flash。这个被称为 Clickjacking 的安全威胁,原本要在 OWASP NYC AppSec 2008 大会上公布,但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞,直到他们开发出安全补丁。今天Adobe在安全公告栏上第一次提及此事,本次漏洞影响9.0.124.0之前的所有版本,同时他们发表了暂时的解决方案,希望各位注意。
Flash Player workaround available for "Clickjacking" issue
http://www.adobe.com/support/security/advisories/apsa08-08.html
姓名:Chinadu
性别:Man
职业:网络安全从业者
E-mail:imcto#msn.cn
近期评论