記者/林姿岑
日前,Google訊息安全工程師Michele Spagnuolo表示,Adobe Flash Player再曝嚴重漏洞,致使數百萬用戶之身分認證訊息陷入盜用風險,目前已知受影響之網站和服務,包含Instagram、Olark、eBay和Tumblr等,而Adobe也針對此一問題,發佈Flash Player平台的安全更新,企圖補救漏洞。
Michele Spagnuolo將此概念驗證攻擊工具命名為Rosetta Flash,透過此一方式,攻擊者可在Flash檔案中植入惡意命令,利用包含惡意指令碼的Adobe Shockwave Flash,突破防範,擷取網站cookie,取得使用者登入資訊,回傳至攻擊者所控制的網站,如此,攻擊者便能假冒身份,進行認證請求。
除Instagram、Twitter、Google和Tumblr等網站和服務受影響外,Internet Explorer、Google Chrome、Firefox、Safari與Opera等瀏覽器亦受波及,且受影響之產品更包含Windows、Mac平台的Adobe Flash Player 14.0.0.125,與Linux平台之Adobe Flash Player 11.2.202.378,影響甚鉅,可見一斑。
Adobe研究人員針對此一問題進行技術分析後,已於週二發佈更新檔,並建議使用者盡速更新。該更新旨在修補CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三項漏洞,但終端用戶若安裝該檔案,需耗時數天甚至數周,因此,研究人員建議工程師於伺服器進行調整,以減低風險。