Flash文件有漏洞 成千上万网站遭威胁

　　据外电报道，美国国家计算机网络应急技术协调处理中心(US-CERT)周三向全美计算机用户发出两个警报。

　　第一个警报指出RealPlayer版本11环境中存在安全漏洞。目前针对RealPlayer软件进行的网络攻击不在少数。 
 
　　第二个警报指出Flash (.swf)文件中存在漏洞，该漏洞允许远程未经认证的入侵者对系统执行跨站脚本(XSS)攻击，美国国家计算机网络应急技术协调处理中心相关人员指出Flash制作工具可能产生存在漏洞的Flash文件。

　　Google安全专家称成千Flash文件存在漏洞，许多网站遭威胁。Google信息安全高级工程师Rich Cannings指出自动生成SWF文件的软件，比如Dreamover、Adobe Acrobat，InfoSoft FusionCharts 和Techsmith Camtasia等都存在漏洞但一些已经被修复。

　　针对该漏洞的攻击是跨站脚本(XSS)攻击的一种，攻击者通过注入带有危险的代码运行对应的SWF文件，以获取用户Cookie，进而获取用户权限。

　　Adobe公司建议用户更新至最新版本，并指出在 Adobe Flash Player 中已识别出关键的漏洞, 这使得成功利用这些潜在漏洞的攻击者能够控制受影响的系统。攻击者要利用这些潜在漏洞, 必须由用户在Flash Player 中加载恶意SWF。建议用户将 Flash Player 更新至对于他们的平台可用的最新版本。