Adobe於2011年的11月修補了Adobe Flex中的跨站指令碼(cross-site scripting, XSS)漏洞,但兩名資安研究人員卻發現,即使該漏洞已被修補,全球前十大網站中就有三個受到該漏洞的影響。

Adobe Flex是一個基於Adobe Flash平台的軟體開發套件(SDK),可用來開發跨平台的豐富網路應用程式,它在2008年成為開放源碼專案,並在2012年成為Apache基金會的頂級專案之一。

此一編號為CVE-2011-2461的安全漏洞是在2011年初被揭露,Adobe則在2011年底釋出修補程式。然而,來自Nibble Serurity的Luca Carettoni與來自Minded Security的Mauro Gentile共同向外界展示此一漏洞的遺毒,就算使用最新的瀏覽器或Adobe Flash Player仍有機會導致偽造同源政策(Same-Origin Request Forgery)或跨站攻擊。

主要原因來自於CVE-2011-2461漏洞的特性,凡是以含漏洞的Flex所建立的SWF檔案都必須重新編譯或是修補漏洞,這代表開發人員除了應該更新所使用的Flex版本之外,也得更新藉由這些Flex所製作的SWF檔案。

Carettoni與Gentile認為,當年該漏洞並沒有得到應有的重視,當以特製工具檢驗網路上的SWF檔案時,發現在Alex流量排行榜上的十大網站中就有三個含有具該漏洞的SWF檔案,縱使使用者透過最新的瀏覽器或Flash Player存取這些檔案,仍然可能遭受攻擊。

名列Alex前十大的網站依序是Google、Facebook、YouTube、百度、Yahoo、Wikipedia、Amazon、Twitter、淘寶與QQ,研究人員並未公布具漏洞的網站名單,僅表示已通知相關業者修補或移除檔案。

開發人員或網站管理人員則可利用ParrotNG工具來辨識出含有漏洞的SWF檔案,Carettoni與Gentile希望找到這些檔案的使用者可通知受影響的網站,並建議開發人員再度確認他們所使用的Flex與SWF檔案是沒有問題的。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容