05.30
就在2008年5/28當天吵的沸沸揚揚的,台灣的阿碼科技與McAfee宣佈Adobe的Flash Player有嚴重的資安問題,將可能導致中毒和資料被盜取,我看可能一堆人現在正嚇到不敢去用Flash,甚至連很多公司的人跑來問我這件事到底怎麼了,搞的風風雨雨的,安啦!別再到處亂傳了,基本上我已經把這件事情當作笑話在看了,不過這兩天我還真的為了這件事情解釋了好幾遍。 Orz
消息來源:(參考網址)
Flash爆零時差攻擊 專家建議先停用
ZDNet記者馬培治/台北報導 2008/05/28 19:56 在個人電腦普及率接近99%的Adobe Flash Player驚傳零時差攻擊,資安專家建議,在Adobe釋出修補程式前,最好暫時關閉Flash外掛。
資安業者阿碼科技與McAfee今(28)日先後發出資安警訊,表示發現利用Adobe Flash Player未公開漏洞進行的一波惡意攻擊,表示有偷取密碼及遠端執行任意程式碼等惡意行為。McAfee在官方部落格上表示,剛發現此一最新零時差攻擊,但仍須進一步調查,阿碼科技CEO黃耀文則表示,早在上週(5/23)起便發現利用Flash進行攻擊的行為,當時定位為利用已知漏洞的舊攻擊手法而未進一步研究,但今天清晨發現是零時差攻擊,便立刻發出資安警訊。
生產Flash Player的Adobe已證實留意到此一狀況,但未提供進一步消息。台灣Adobe行銷經理彭鳳儀表示,總公司目前正和賽門鐵克合作調查可能的漏洞,不過對於修補程式推出的時程等細節則未能提供,但表示一有確切訊息便會發佈。
廣受採用的Adobe Flash並非首次傳出漏洞,在2005及2006年,便分別傳出漏洞,在今(2008)年三月的一場駭客破解大賽中,便有駭客利用Flash漏洞攻破號稱微軟有史以來最安全作業系統的Windows Vista,不過Adobe已修補該漏洞。
值得注意的是,此波利用Flash漏洞進行的零時差攻擊,被認為是本月中以來在華文地區肆虐的大規模SQL Injection攻擊的延續。
黃耀文表示,由於上波SQL Injection攻擊中發現的大量被植入的網址,本身卻無惡意行為,有如小偷進了家門卻不偷東西的怪異舉止,該公司懷疑駭客僅在進行佈局,「如今證實他們打算利用零時差進行真正的攻擊,」他說。
趨勢科技資深技術顧問戴燊則進一步解釋,駭客這次在上一波攻擊中植入的、原來並無惡意行為的網址中,加入了有害的SWF(Flash)檔案,讓使用者瀏覽了即會中標,初步統計已有數千個惡意網頁,網域則多半位在中國。
由於引發攻擊的Flash漏洞尚未被修補,因此專家建議使用者,最好先暫時關閉Flash,以防萬一。
黃耀文表示,初步測試大部份防毒軟體尚無法阻擋此一零時差攻擊,他建議使用者在Adobe發表修補程式前,先在瀏覽器的設定中,將「Shockwave Flash Object」選項停用。
賽門鐵克資深技術顧問莊添發則表示,該公司資安產品已能抵禦這項零時差攻擊,但他仍建議一般用戶對於來路不明的網頁、連結與檔案等,最好不要點擊。
戴燊則表示,趨勢科技的網頁信譽評等服務WRS已可封鎖這些惡意連結,不確定自己使用的資安軟體能否抵禦此攻擊的用戶,除了暫時停用Flash外,他亦建議採用目前已免費釋出的英文版WRS元件進行網頁過濾。
另外一則消息來源:(參考網址)
Adobe新漏洞 用戶恐陷轉址攻擊
2008-5-28/ Cpro編譯/ 撰文
資安公司 賽門鐵克 本周表示,一項未經修補的 Adobe Flash播放軟體漏洞正被利用於網路犯罪。
防毒軟體公司Mcafee也指出,漏洞所造成的攻擊事件正迅速蔓延當中,犯行者已潛入約22萬網頁當中,並在這些網頁中加入轉址語法,來將受害者導引到至少57台發送攻擊碼的網站伺服器。一旦使用者電腦遭駭,駭客就會強行安裝一些惡意程式,如遠端遙控魁儡軟體,以及一種程式設計專門用來竊取「魔獸世界」電玩的帳號跟密碼。
目前為止有關該漏洞細節並不很多,只知該漏洞潛藏於最新版Adobe Flash Player的瀏覽器外掛程式,它被網路瀏覽者廣泛地使用於觀看動畫網頁。Adobe發言人則表示,他們正聯合賽門鐵克來調查此一潛在弱點,並將盡快尋求解決之道。
基本上這個新聞有兩個好笑的點,首先每家業者都說他們最快發現,而且都在同一天發布,到底是誰抄誰的?這不經讓人懷疑到底誰在說謊?不知道是誰,但是可以肯定的是這實在是太巧啦,難不成大家都這麼有默契,可以同一時間發現,還是Adobe只有在這天將漏洞顯示出來?這讓人十分玩味 XD
再來若對Flash Player的機制有一些認識,去看所發出的原因絕對不是因為使用或瀏覽Flash Player中毒,中毒的原因是因為開啟了有毒的網頁,而網頁中的惡意程式造成染毒或植入後門程式,這個怪罪給Flash Player實在是有失公道。
果然隔天就在2008/5/29賽門鐵克收回了該消息:(參考網頁)
賽門鐵克再出槌 撤回Adobe Flash警告
改口表示該弱點是先前所知,並已於上月修補完成
2008-5-29/ Cpro編譯/ 撰文
就在本周三, 賽門鐵克 提出駭客可利用 Adobe Flash Player漏洞進行轉址攻擊的警告,今天馬上改口撤回該項警告,並宣稱這個漏洞與上個月已修補的另一弱點相當類似。
賽門鐵克起初以警告性內容來陳述這項威脅,指稱駭客已潛入約22萬網頁當中,並在這些網頁中加入轉址語法,來將受害者導引到惡意網站伺服器,進而入侵無防護力的電腦,並強行安裝惡意程式,如遠端遙控魁儡軟體以及用來竊取電玩帳號跟密碼的程式。
今天賽門鐵克立即改口表示,這個弱點是先前所知的,並也已於4月8日由Adobe修補完成。然而,Linux版的Adobe獨立Flash Player(版本9.0.124)依然存在弱點並且容易遭受攻擊。
VeriSign’s iDefense快速反應團隊則表示,這樣錯誤的安全警告是少有的,但的確是一次又一次重複發生。此事件似乎顯示在沒有妥善釐清與測試求證下,一味求快而倉促發佈警告是不恰當的。
基本上中毒的原因還是來自於不當的使用行為,不管使用任何的軟體或技術都有可能造成資安的問題,不過這篇報導是在事太過偏頗,而且雖然事後已經撤回警告,但是我想對 Adobe的傷害都已經造成,不得不承認網路傳撥資訊的速度還真是快啊,不管是對的還是錯的資訊,這也再再提醒我們,在網路的時代,實在是需要對消息小心求證才行啊。
相關文章:
文章內容由宋志峰[ANISTAR]撰寫,引用分享請以鏈結形式註明出處與原始作者。
No Comment.
Add Your Comment