谷歌信息安全工程師米歇爾·斯帕格諾洛（Michele Spagnuolo）周二在博客稱(chēng)，F(xiàn)lash Player的升級(jí)補(bǔ)丁存在漏洞。用戶(hù)在訪問(wèn)eBay，Tumblr，Twitter或Instagram等網(wǎng)站后，其計(jì)算機(jī)可能被駭客控制，數(shù)百萬(wàn)用戶(hù)的身份認(rèn)證因此面臨風(fēng)險(xiǎn)。

從Adobe的公告欄中我們了解到，這個(gè)提供給Windows，Mac和Linux計(jì)算機(jī)用戶(hù)的補(bǔ)丁可以將軟件升級(jí)到版本14.0.0.145。目前Adobe已經(jīng)將這次威脅設(shè)置為***級(jí)別并于周二發(fā)出新的安全補(bǔ)丁，谷歌Chrome和微軟Internet Explorer用戶(hù)將會(huì)自動(dòng)安裝新的安全補(bǔ)丁，但未及時(shí)下載這一補(bǔ)丁的用戶(hù)仍存在安全風(fēng)險(xiǎn)。

研究人員建議，大型網(wǎng)站的工程師應(yīng)及時(shí)對(duì)服務(wù)器進(jìn)行調(diào)整，主動(dòng)降低風(fēng)險(xiǎn)。目前，Twitter和谷歌的多個(gè)服務(wù)器已經(jīng)對(duì)這一漏洞進(jìn)行了修復(fù)。

導(dǎo)致這一漏洞的直接原因是常年以來(lái)，普通SWF文件均依賴(lài)代碼轉(zhuǎn)換為全部基于字母數(shù)字的內(nèi)容。但在壓縮SWF文件使其支持JSONP技術(shù)的轉(zhuǎn)換過(guò)程中能夠設(shè)置瀏覽器Cookies，或執(zhí)行其它任務(wù)。

一款名為Rosetta Flash的概念驗(yàn)證工具通過(guò)使用一種新的編碼方法，能在只包含字符的SWF文件中加入惡意命令。這樣制作的SWF文件就能假冒訪客的Flash發(fā)送網(wǎng)絡(luò)請(qǐng)求，從而獲得JSONP網(wǎng)站設(shè)置的用戶(hù)身份認(rèn)證Cookies和其它文件。