Flash Player漏洞可窃取用户数据 已发补丁

近日Adobe披露Flash Player存在一个新漏洞，该漏洞可能允许攻击者远程接管和控制 Mac 电脑、Windows PC以及 Linux 计算机。Adobe发布Flash Player所有平台的安全更新补丁，修补包括一项可让黑客窃取使用者网站登录信息在内的三项漏洞，并催促用户尽快升级。

该安全更新旨在修补包括 CVE-2014-0537、CVE-2014-0539及CVE-2014-4671三项漏洞，受影响的产品包括Windows及Mac平台的Adobe Flash Player 14.0.0.125，以及Linux平台的Adobe Flash Player 11.2.202.378。Adobe建议使用者应尽速更新，以防黑客取得受害系统控制权限。

三项安全漏洞中，CVE-2014-4671漏洞风险程度高过其他两个。Google安全工程师Michele Spagnuolo 指出，这是一个跨站伪造请求漏洞（cross-site request forgery, CSRF），可能让攻击者窃取网站登录信息。

Spagnuolo并对此制作名为Rosetta Flash的概念验证攻击工具，可以将包含恶意指令码的Adobe Shockwave Flash文件转成只以英文字母及数字组成的文件，以攻击使用JSONP的网站。一旦这类网站的端点具有这项漏洞，即可通过Flash应用针对网站执行任意网域呼叫，绕过名为Same Origin Policy的防范政策，借此拦截网站的cookie、取得敏感资料，再传送到攻击者控制的网站。

他指出，除了Google 帐号管理(accounts.google.com)、Books、Maps等服务网站及大型网站如eBay、Instagram或Tumblr等都受到该项漏洞影响。Google及Tumblr先后完成修补。

通过这种攻击方式，攻击者可以在Flash 文件中植入恶意命令。在对这一安全威胁进行技术分析之后，Adobe 已于周二发布补丁，在很大程度上解决了这一威胁。不过，终端用户安装这一补丁的过程可能需要几天至几周，因此研究人员建议，大型网站的工程师应抓紧服务器端进行调整，以降低风险。

　　Adobe指出，Adobe Flash Player 14.0.0.125用户应升级到14.0.0.145，而Adobe Flash Player 11.2.202.378版本则应升级到11.2.202.394版。

受影响的浏览器遍及Internet Explorer、GoogleChrome、Firefox、Apple的Safari及Opera。但Internet Explorer 10(IE10) 、IE11浏览器则会自动更新到最新Windows版，各自包含Windows 8.0及8.1版的最新Flash Player，而Google Chrome也会自动更新到最新Windows、Mac及Linux版Flash Player。

这表示IE 10之前的版本、Firefox、Safari及Opera用户应该立即到Adobe Flash Player下载中心下载安装最新版Adobe Flash Player。

Adobe提醒，其他受影响的产品还包括Adobe AIR 14.0.0.110 及之前版本SDK、Adobe AIR 14.0.0.110 及之前版本SDK and Complier，和Android平台上的Adobe AIR 14.0.0.110及之前版本。三项产品用户都需升级到Adobe AIR 14.0.0.137的对应版本。