BlackHat演示用图片文件窃取用户资料

将要在本周举行的拉斯维加斯Black Hat安全会议上，研究人员将会演示他们开发的一种可以从诸如Facebook、eBay和Google等流行网站窃取用户资料的软件技术。

据称攻击使用一种新型的混合类型文件GIFAR，这种文件是GIF和JAR两种类型文件的混合体，假如恶意将这种文件存放至可上传图片的网站上，GIFAR可以绕过安全系统，窃取浏览该图片用户的资料。在Black Hat大会上研究人员将演示如何制作这种GIFAR文件，但是将略过某些关键细节以防止其近期被用于大规模攻击。

对于Web服务器来说，这种文件就像是单纯的.gif图片，但是浏览器的Java虚拟机则会将其视为可运行的Java程序，这时攻击者便有机会在受害者的浏览器上运行恶意代码，而不会被发觉。通过将这种“图片”上传至流行的合法Web站点，就能窃取大量浏览者的账号等个人信息。

研究人员表示，制止这种攻击可以依靠Web站点加装新的文件过滤器或者通过限制Java虚拟机实现，不过要所有的网站做到万无一失恐怕还需要很长一段时间。