Websense安全實驗室在上周五(12/1)發布一安全通知,指出有一蠕蟲透過知名的社交網站MySpace散布,該蠕蟲同時利用了蘋果電腦多媒體播放器QuickTime功能及MySpace的漏洞,讓使用者連結到釣魚網站。
駭客所利用的MySpace漏洞為兩周前被揭露的跨網站描述性語言漏洞,以及QuickTime中的HREF追蹤功能,前者為網站常見的漏洞,後者則是一正常功能,主要是指引使用者透過JavaScript指令把網頁下載到瀏覽器框架或視窗中。
Websense資深產品經理Ross Paul說明,此一QuickTime的功能有正當的使用方式,但也有不少可正當使用的技術被濫用。
如果MySpace使用者瀏覽一個含有惡意程式的QuickTime影片,那麼該使用者的檔案就會受到感染,該蠕蟲除了會將使用者檔案中的連結引導至釣魚網站,另一方面,惡意的QuickTime也會自動嵌入該名使用者的檔案中,如此一來,凡是瀏覽這些受到感染的用戶檔案的使用者們,就會成為下一個受害者。
Websense安全研究副總裁Dan Hubbard說明,被導引到釣魚網站的使用者可能在不知情的狀況下就輸入自己在MySpace的帳號及密碼,這些資訊可讓駭客存取使用者的社交網路資源,並可輕易地被用來進行更多的惡意攻擊。
MySpace註冊用戶超過7000萬名,為全球最受歡迎的社交網站,也因此有成為駭客攻擊目標的傾向,先前就分別傳出駭客在該站竊取用戶資料以及散布間諜程式,而MySpace本身的漏洞更助長了此一情勢。
FaceTime惡意程式研究總監Chris Boyd對MySpace用戶提出建議,指出受感染的用戶必須先清理自己的檔案,再檢查自己的朋友是否亦受到感染。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
