旧的Adobe Flex SDK错误仍然威胁着许多知名网站的用户

两名研究人员称,可以利用影响Adobe Flex SDK编译器旧版本的旧漏洞来破坏许多受欢迎站点(包括世界上访问量最大的站点中的三个)的访问者的用户数据。

Luca Carettoni,在LinkedIn工作’的安全部门以及Minded Security研究人员Mauro Gentile指出,该错误(CVE-2011-2461)已于2011年11月由Adobe修补。

“CVE-2011-2461的特殊之处在于,必须重新编译或修补易受彩票网app的Flex应用程序;即使使用最新的Flash Player,也可以利用易受彩票网app的Flex应用程序。只要SWF文件是使用易受彩票网app的Flex SDK编译的,彩票网app者仍可以针对最新的Web浏览器和Flash插件使用此漏洞,”他们在帖子中解释。

而且,事实证明,并非所有管理员都重新编译了易受彩票网app的SWF文件。

通过使用 鹦鹉是他们创建的用于自动识别这些文件的工具,他们发现许多网站托管了某些网站,并且容易受到CVE-2011-2461的彩票网app。

“此漏洞使彩票网app者可以窃取受害者’数据(通过同源发起请求伪造),或代表受害者(通过跨站点请求伪造)执行操作,方法是要求受害者访问恶意网页。实际上,可以迫使受影响的Flash电影执行“原始来源”请求,并将响应返回给彩票网app者。由于HTTP请求包含Cookie并由受害者发出’的域,HTTP响应可能包含私有信息,包括反CSRF令牌和用户’s 数据,” they 注意到的.

“总结一下,托管易受彩票网app的SWF文件会导致‘indirect’完全修补的Web浏览器和插件中的“同源策略”绕过。”

尽管他们已将ParrotNG工具和PDF及其研究成果提供给广大公众,但他们仅直接与备受关注的站点的安全团队共享PoC漏洞利用代码。

他们还设定了完整的披露日期(但避风港’t说现在是什么日期),与此同时,他们敦促具有道德意识的黑客搜索托管易受彩票网app的SWF文件的网站,并警告其所有者危险。

然后,系统管理员可以删除不使用的漏洞文件(如果不使用它们),或者使用最新的Apache Flex SDK重新编译它们,也可以对其进行修补(此过程已经 详细 由Adobe提供)。

分享这个