近日Adobe披露Flash Player存在一个新破绽,该破绽可能容许进攻者长途接收和掌握 Mac 电脑、Windows PC以及 Linux 计算机。Adobe发布Flash Player所有平台的平安更新补钉,修补包罗一项可让黑客窃取利用者网站登录信息在内的三项破绽,为了广阔用户的数据平安,请尽快晋级。
该平安更新旨在修补包罗 CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三项破绽,受影响的产物包罗Windows及Mac平台的Adobe Flash Player 14.0.0.125,以及Linux平台的Adobe Flash Player 11.2.202.378。Adobe定见利用者应尽速更新,以防黑客获得受害系统掌握权限。
三项平安破绽中,CVE-2014-4671破绽风险水平高过其他两个。Google平安工程师Michele Spagnuolo 指出,那是一个跨站伪造恳求破绽(cross-site request forgery, CSRF),可能让进攻者窃取网站登录信息。
Spagnuolo并对此造造名为Rosetta Flash的概念验证进攻东西,能够将包罗歹意指令码的Adobe Shockwave Flash文件转成只以英文字母及数字构成的文件,以进攻利用JSONP的网站。一旦那类网站的端点具有那项破绽,即可通过Flash利用针对网站施行肆意网域唤喊,绕过名为Same Origin Policy的提防政策,借此拦截网站的cookie、获得灵敏材料,再传送到进攻者掌握的网站。
他指出,除了Google 帐号治理(accounts.google.com)、Books、Maps等办事网站及大型网站如eBay、Instagram或Tumblr等都遭到该项破绽影响。Google及Tumblr先后完成修补。
通过那种进攻体例,进攻者能够在Flash 文件中植进歹意号令。在对那一平安威胁停止手艺阐发之后,Adobe 已于周二发布补钉,在很大水平上处理了那一威胁。不外,末端用户安拆那一补钉的过程可能需要几天至几周,因而研究人员定见,大型网站的工程师应挠紧办事器端停止调整,以降低风险。
Adobe指出,Adobe Flash Player 14.0.0.125用户应晋级到14.0.0.145,而Adobe Flash Player 11.2.202.378版本则应晋级到11.2.202.394版。
受影响的阅读器广泛Internet Explorer、GoogleChrome、Firefox、Apple的Safari及Opera。但Internet Explorer 10(IE10) 、IE11阅读器则会主动更新到最新Windows版,各自包罗Windows 8.0及8.1版的最新Flash Player,而Google Chrome也会主动更新到最新Windows、Mac及Linux版Flash Player。
那表达IE 10之前的版本、Firefox、Safari及Opera用户应该立即到Adobe Flash Player下载中心下载安拆最新版Adobe Flash Player。
专家提醒:除了晋级软件,打上补钉之外,还能够利用加密软件,现在的加密软件间接对数据自己停止加密,不再是往常的格局加密。如许的优势能够庇护您的本源信息,免遭黑客窃取,即便泄露,数据也不克不及查看。