Google曝Flash文件漏洞 成千网站遭威胁

据外电报道，　美国国家计算机网络应急技术协调处理中心(US-CERT)周三向全美计算机用户发出两个警报。

第一个警报指出RealPlayer版本11环境中存在安全漏洞。目前针对RealPlayer软件进行的网络攻击不在少数。

第二个警报指出Flash (.swf)文件中存在漏洞，该漏洞允许远程未经认证的入侵者对系统执行跨站脚本(XSS)攻击，美国国家计算机网络应急技术协调处理中心相关人员指出Flash制作工具可能产生存在漏洞的Flash文件。

Google安全专家称成千Flash文件存在漏洞，许多网站遭威胁。Google信息安全高级工程师Rich Cannings指出自动生成SWF文件的软件，比如Dreamover、Adobe Acrobat，InfoSoft FusionCharts 和Techsmith Camtasia等都存在漏洞但一些已经被修复。

针对该漏洞的攻击是跨站脚本(XSS)攻击的一种，攻击者通过注入带有危险的代码运行对应的SWF文件，以获取用户Cookie，进而获取用户权限。

Adobe公司建议用户更新至最新版本，并指出在 Adobe Flash Player 中已识别出关键的漏洞, 这使得成功利用这些潜在漏洞的攻击者能够控制受影响的系统。 攻击者要利用这些潜在漏洞, 必须由用户在 Flash Player 中加载恶意 SWF。 建议用户将 Flash Player 更新至对于他们的平台可用的最新版本。