8月下旬,国内某SNS社区曝出存在视频播放漏洞,该漏洞可导致用户在查看好友的视频记录时,自动运行一段恶意代码,执行flash xss蠕虫攻击。
简单描述该漏洞原理,就是该网在进行视频播放时,由于采用的playswf函数存在缺陷,会错误引用allowScriptAccess属性,导致视频播放时能嵌入别的flash文件,而这个flash文件能够执行任意的脚本,从而给黑客提供可趁之机,这种攻击方式被称为flash xss蠕虫攻击。
通过基于这一漏洞的操作,黑客可使用户在点击好友分享的视频时,首先打开一个经过精心伪装的flash文件,这个flash将链接至黑客事先设计好的恶意脚本并执行。然后,才加载真正的视频文件进行播放。于是恶意脚本就绕过了安全系统,在后台悄悄执行,而为了加快自己的传播速度,该脚本还能令用户自动分享所播放的视频,这样一来,该毒就可以有更多机会传播到用户好友的机器上,一传十、十传百……
本次曝出的这一恶意脚本仅仅是单纯的传播,没有实质的破坏。但由于该消息已在网上广泛传播,金山毒霸安全专家担心会有动机不纯者利用这一漏洞牟利。我们建议广大SNS社区的管理人员,加大对社区安全机制的检查,否则一旦发生大规模flash xss蠕虫攻击,用户损失将非常惨重,社区也会因此遭遇严重的信任危机。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
新libSSH漏洞可获取服务器root访问权限
隐蔽近五年的libSSH漏洞可让恶意攻击者通过SSH服务器进程轻松获取对设备的管理控制。 NCC集团安全顾问P […]
-
“Redirect to SMB”漏洞影响所有版本的Windows
新的“Redirect to SMB(重定向到SMB协议)”漏洞是18年前发现的一个漏洞的变种,可导致所有版本的Windows遭受中间人攻击。
-
识别漏洞与缺陷 更好的进行安全管理
现在软件安全市场中的大部分重点都放在发现和修复漏洞上,但其实软件设计和架构中的缺陷问题也占据很大比率。
-
Android设备上如何阻止VPN绕过漏洞和恶意应用?
在Android设备中出现VPN绕过漏洞允许恶意应用通过VPN并重定向数据的情况,那么在补丁发布前,该如何阻止这种情况发生?