快升級Flash Player 莫讓黑客趁虛而入

  我們在上網的過程中時常碰到使用Flash Player的網頁,雖然也常不以為意的點擊它們,但是使用的過程中,您或許已經掉進黑客的陷阱中了。以甲胖Blog為例:4/11日(含)以前,上過甲胖Blog的使用者,目前為止只有0.54%的使用者將Flash Player版本升級至最新,因此建議大家盡快升級自己的Flash Player,以免成為黑客們的「獵物」。

  據國外媒體報導,Adobe公司近日已經對它的Flash Player進行升級,修復了它存在的七個安全漏洞。Flash Player是一個被廣泛應用於網頁和廣告條中的圖形、視頻播放器。Adobe公司將這個補丁劃為「嚴重」等級,並建議盡快升級到它的最新版9.0.124.0,因為所有的安全漏洞都可以被黑客利用來在電腦上執行任何代碼。

  在上個月的CanSecWest安全大會的PWN 2 OWN黑客大賽上,安全專家Macaulay就是成功的利用Flash中的一個安全漏洞,成功攻破裝有Vista的筆記型電腦,贏得了這個筆記型電腦和比賽獎金。他後來表示世界上有90%的電腦是存在安全漏洞的。

  現在黑客們已經開始越來越多開始把目光轉向Flash Player,利用它作為入侵電腦的一個重要途徑。Flash Player深受黑客喜愛的原因有二:首先大多數網頁瀏覽器都安裝了Flash Player,據分析公司最近的數據表明,目前有98%的全球瀏覽器安裝了Flash Player,這對黑客來說無疑是一個很大的市場,而且黑客可以通過惡意廣告條來充分利用Flash Player中存在的這些安全漏洞。

  Adobe公司在其安全公告中表示,「通過用戶的網頁瀏覽器、電子郵件客戶端或其它包含或引用Flash Player的應用程式,黑客可以從遠程利用這些漏洞來攻擊用戶的電腦。」

  如果一個惡意廣告Flash被廣泛發佈的話,黑客有可能會控制很多電腦。微軟最有價值安全專家中之一的Sandi Hardmeier表示,這種「流氓廣告」目前已經到處可見。最近一個星期天,Hardmeier就發現了一個假造的FedEx廣告條,可以把點擊它的用戶重定向到一個銷售危險安全軟件的網站。

  安全廠商Websense在網站中表示,美國新聞網站USA Today網站上存在一個惡意廣告條。如果用戶查看這個惡意廣告的話,他的瀏覽器視窗會立即最小化,然後彈出一個警告窗口表示該電腦已被惡意軟件感染。即使用戶點擊「取消」按鈕,其瀏覽器也會被重定向到另一個銷售間諜軟件的網站。

  在今年1月份,Adobe和其他軟體廠商已經共同對它們的Flahs開發工具進行了升級,來阻擋黑客建立可以實現跨站點腳本攻擊的惡意Flash文件。例如,Flash Player以前沒有充分地限制對跨域策略文件的解釋和使用,遠程攻擊者可以在強制跨域策略文件時導致錯誤,這樣就可以繞過跨域安全模塊執行跨站腳本攻擊。現在Adobe公司增加了一個叫「跨域策略檢查」的功能來修復這個漏洞。


0 意見:

張貼留言