天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

USCERT提醒注意Adobe Shockwave播放器威胁

  据USCERT发出的一个警告,Adobe Shockwave播放器中一个不当的功能可能潜在会导致攻击者在浏览器插件中装载易受攻击的文件,从而使用户暴露在路过式攻击和其他问题之下。

  USCERT表示,该威胁普遍存在于对Shockwave播放器进行功能扩展的Xtras文件包中。据周一发布的一个公告,该文件存储在Shockwave本身,使攻击者可以加载旧的、易受攻击的Xtras文件。当Shockwave播放一个影片时,Xtras可以被安装并自动利用。

  “如果Xtra是由Adobe或Macromedia公司签署的,那么它无需用户交互就会自动安装,”USCERT警告道。根据公告,这个长期存在的问题在2010年引起了Adobe公司的关注。它影响在Mozilla Firefox和Internet Explorer浏览器上运行“简化版”Shockwave播放器的用户。

  该攻击非常容易实施,尽管一直没有报告称它被网络犯罪分子积极利用。攻击者可以诱使用户查看恶意Shockwave内容,然后以用户的权限执行恶意代码。

  Adobe承认该问题,并表示其工程团队计划在2月发布一个更新来解决它。“Adobe正努力在下一个Adobe Shockwave播放器主流版本中解决这个问题,我们目前还没有获悉这种特殊技术被广泛利用或进行攻击。

  USCERT说,直到发布更新前都没有切实可行的解决办法。但事实上,个人和组织可以采取一些措施来减轻这种威胁,如通过限制处理不受信任的内容。其他的方法还包括使用浏览器插件,如在Mozilla浏览器中运行Shockwave播放器就可以安装NoScript,或使用白名单只通过那些受信任的网站。企业还可以在IE中禁用Shockwave Player ActiveX控件,不过这可能会引起一些网页中的问题。

  Windows用户可以通过启用数据执行保护(DEP)来进一步加强保护,该功能可以限制代码执行,从而使网络犯罪分子更难利用该漏洞。

本文来源:TechTarget中国 作者:Robert Westervelt

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行