美国国家计算机网络应急技术协调处理中心(US-CERT)周三向全美计算机用户发出两个警报。
据外电报道, 美国国家计算机网络应急技术协调处理中心(US-CERT)周三向全美计算机用户发出两个警报。
第一个警报指出RealPlayer版本11环境中存在安全漏洞。目前针对RealPlayer软件进行的网络攻击不在少数。
第二个警报指出Flash (.swf)文件中存在漏洞,该漏洞允许远程未经认证的入侵者对系统执行跨站脚本(XSS)攻击,美国国家计算机网络应急技术协调处理中心相关人员指出Flash制作工具可能产生存在漏洞的Flash文件。
Google安全专家称成千Flash文件存在漏洞,许多网站遭威胁。Google信息安全高级工程师Rich Cannings指出自动生成SWF文件的软件,比如Dreamover、Adobe Acrobat,InfoSoft FusionCharts 和Techsmith Camtasia等都存在漏洞但一些已经被修复。
针对该漏洞的攻击是跨站脚本(XSS)攻击的一种,攻击者通过注入带有危险的代码运行对应的SWF文件,以获取用户Cookie,进而获取用户权限。
Adobe公司建议用户更新至最新版本,并指出在 Adobe Flash Player 中已识别出关键的漏洞, 这使得成功利用这些潜在漏洞的攻击者能够控制受影响的系统。 攻击者要利用这些潜在漏洞, 必须由用户在 Flash Player 中加载恶意 SWF。 建议用户将 Flash Player 更新至对于他们的平台可用的最新版本。
