谷歌信息安全工程師米歇爾·斯帕格魯諾(Michele Spagnuolo)周二表示，一種與Adobe Flash文件有關(guān)的攻擊方式正導(dǎo)致數(shù)百萬(wàn)用戶的身份認(rèn)證信息面臨風(fēng)險(xiǎn)，而涉及的網(wǎng)站和服務(wù)包括eBay、Tumblr和Instagram。

通過(guò)這種攻擊方式，攻擊者可以在Flash文件中植入惡意命令。在對(duì)這一安全威脅進(jìn)行技術(shù)分析之后，Adobe已于周二發(fā)布補(bǔ)丁，在很大程度上解決了這一威脅。不過(guò)，終端用戶安裝這一補(bǔ)丁的過(guò)程可能需要幾天至幾周，因此研究人員建議，大型網(wǎng)站的工程師在服務(wù)器一側(cè)進(jìn)行調(diào)整，以降低風(fēng)險(xiǎn)。

目前已知eBay、Tumblr、Instagram和Olark等網(wǎng)站和服務(wù)可能受到影響。而攻擊者可以竊取網(wǎng)站發(fā)送給終端用戶的身份認(rèn)證Cookies和其他數(shù)據(jù)。Twitter(37.84, -0.22, -0.58%)和谷歌的多個(gè)服務(wù)近期已針對(duì)這一漏洞進(jìn)行了修復(fù)。

這種攻擊方式依賴(lài)于已存在多年的代碼行為，這是為了使普通SWF文件中的二進(jìn)制內(nèi)容可以轉(zhuǎn)換為完全基于字母數(shù)字的內(nèi)容。這一轉(zhuǎn)換通常發(fā)生在壓縮SWF文件，使其支持JSONP技術(shù)的過(guò)程中。而這可以用于設(shè)置瀏覽器Cookies，或執(zhí)行其他任務(wù)。

斯帕格魯諾開(kāi)發(fā)了一款概念驗(yàn)證工具Rosetta Flash。該工具使用了一種新的編碼方法，能在只包含字符的SWF文件中加入惡意命令。使用這一工具制作的SWF文件能使用訪客的Flash應(yīng)用發(fā)送網(wǎng)絡(luò)請(qǐng)求，從而獲取JSONP網(wǎng)站設(shè)置的身份認(rèn)證Cookies和其他文件。因此，如果有惡意網(wǎng)站集成這種SWF，那么就可以獲得此前由eBay等網(wǎng)站設(shè)置的身份認(rèn)證Cookies，假冒用戶進(jìn)行身份認(rèn)證請(qǐng)求。