Adobe cve-2011-2461漏洞仍然可以被利用

yeyu 2016-7-8 web 0 0

t01b64ff7f129d11d08.jpg

一个已经出现四年的Adobe Flash补丁没有正确解决Flex应用程序易受攻击的问题,并且攻击者现在仍然可以利用这个漏洞。据说,这个漏洞影响了世界上Alexa排名前十的最受欢迎的网站中的30%。

Linkedln的安全研究院Luca Carettoni和Minded Security的安全顾问Mauro Gentile的研究成果显示,即使Web浏览器和Flash插件已经更新了,Shockwave Flash 文件利用 Flex 软件开发者工具中被编译时还是可以被利用。

一个Adobe的发言人告诉Threadpost,Adobe公司已经意识道路Flex应用程序的问题,并且在2011年发布了一个工具解决了这个问题。

研究人员公布了证明软件容易被攻击的部分细节。他们计划在不久的将来放出这个漏洞的全部细节和一些证明概念的开发,他们非常有信心这个方法可以让大众更加了解这个漏洞。Carettoni和Gentile已经通知了这些容易受到攻击的网站的维护者和Adobe公司。

如果利用方法正确,这个漏洞可以允许攻击者通过伪造相同的原始请求从受影响的系统中窃取信息,甚至代表用户在通过跨站伪造请求在用户平台上运行不安全的版本。在这两种情况下,攻击者会强迫受害用户访问恶意网页。

换句话说,研究人员认为在拥有完整补丁的Web浏览器和插件中,托管脆弱的SWF文件会导致间接同源策略旁路。

“实事求是地讲,有可能迫使受影响的Flash影片进行同源请求,并给攻击者返回响应返回,”这两位研究人员在博客中说。 “由于HTTP请求包含cookies并且是从受害者的域发出的,HTTP响应可能包含私人信息,包括反CSRF令牌和用户数据。”

潜在的缓解措施包括重新编译的带有静态库的Flex SDK,Adobe官方在2011年发布的补丁工具,以及如果不使用就简单的删除这种不安全的方式。

你可以找到Carettoni和Gentile在各自网站的分析数据,虽然这些都是转播,但是这两个报告都包含了相同的内容。

转载请注明来自华盟网,本文标题:《Adobe cve-2011-2461漏洞仍然可以被利用》

喜欢 (0) 发布评论
发表评论