2014年7月13日 星期日

Adobe Flash Player重大安全漏洞,可能洩露網站登入資訊

Adobe Flash Player重大安全漏洞,可能洩露網站登入資訊

三項安全漏洞中,CVE-2014-4671漏洞風險程度高過其他二個。Google安全工程師Michele Spagnuolo 指出,這是一個跨站偽造請求漏洞,可能讓攻擊者竊取網站登入資訊。


Adobe發佈Flash Player所有平台的安全更新,修補包括一項可讓駭客竊取使用者網站登入資訊在內的三項漏洞。

該安全更新旨在修補包括 CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三項漏洞,受影響的產品包括Windows及Mac平台的Adobe Flash Player 14.0.0.125,以及Linux平台的Adobe Flash Player 11.2.202.378。Adobe建議使用者應儘速更新,以防駭客取得受害系統控制權限。

三項安全漏洞中,CVE-2014-4671漏洞風險程度高過其他二個。Google安全工程師Michele Spagnuolo 指出,這是一個跨站偽造請求漏洞(cross-site request forgery, CSRF),可能讓攻擊者竊取網站登入資訊。

Spagnuolo並對此製作名為Rosetta Flash的概念驗證攻擊工具,可以將包含惡意指令碼的Adobe Shockwave Flash檔案轉成只以英文字母及數字組成的檔案,以攻擊使用JSONP的網站。一旦這類網站的端點具有這項漏洞,即可透過Flash應用針對網站執行任意網域呼叫,繞過名為Same Origin Policy的防範政策,藉此攔截網站的cookie、取得敏感資料,再傳送到攻擊者控制的網站。

他指出,除了Google 帳號管理(accounts.google.com)、Books、Maps等服務網站及大型網站如eBay、Instagram或Tumblr等都受到該項漏洞影響。Google及Tumblr先後完成修補。

Adobe指出,Adobe Flash Player 14.0.0.125用戶應升級到14.0.0.145,而Adobe Flash Player 11.2.202.378版本則應升級到11.2.202.394版。

受影響的瀏覽器遍及Internet Explorer、Google Chrome、Firefox、Apple的Safari及Opera。但Internet Explorer 10 (IE10) 、IE11瀏覽器則會自動更新到最新Windows版,各自包含Windows 8.0及8.1版的最新Flash Player,而Google Chrome也會自動更新到最新Windows、Mac及Linux版Flash Player。

這表示IE 10之前的版本、Firefox、Safari及Opera用戶應該立即到Adobe Flash Player下載中心下載安裝最新版Adobe Flash Player。

Adobe表示,其他受影響的產品還包括Adobe AIR 14.0.0.110 及之前版本SDK、Adobe AIR 14.0.0.110 及之前版本SDK and Complier,和Android平台上的Adobe AIR 14.0.0.110及之前版本。三項產品用戶都需升級到Adobe AIR 14.0.0.137的對應版本。

轉載自《iThome