未修补的安全风险涉及到Adobe Flash创建的一个黑客攻击可能的机制加载到网站建设中。这个漏洞被发现在前台由安全公司的安全研究人员和向Adobe和谷歌,谷歌的应用程序,包括Gmail,都有可能遭到攻击。
对于该安全漏洞,目前仍没有合适的解决方案。 然而,安全漏洞被利用便很不简单,特别是在Gmail,因为黑客将不得不找出消息ID,以便创造任何作怪。 前景并没有发现任何攻击,使用的技术,它影响到的网站,允许信任域用户上传活动内容。
演示证明的概念就围绕前景的Adobe Flash滥用可能诱杀式下载与驱动器的攻击目标网站建设的陷阱,造成的漏洞。还远远限制的Adobe Flash威胁和可能涉及的活动内容,包括JavaScript的其他形式。问题的根源在于可以说是不安全的网页设计做法,在互联网上深深扎根。
布拉德阿金,Adobe的产品安全和隐私主任解释说,只是修补Flash将不能解决问题。 “我们认为通用的问题,影响到任何网站建设,让活动脚本,不仅Flash,还包括像JavaScript和Silverlight,我认为这一点,“站点不应该允许用户上传到一个受信任的域。”
迈克贝利,高级研究员发现第一个有记载的漏洞,对这一点表示同意,补充说,Adobe还可以发挥作用,去解决这个问题。
“因为,所有用户提供的内容应当由一个完全独立的域名服务网站所有者去管理,”贝利说。“已经实施的是雅虎邮件,Hotmail,维基百科和许多其他主要网站,而包含Web应用程序没有这样做。“
“理想的修复程序应包括Adobe公司Flash的实施对象更明智的原产地政策,”贝利说。.然而,使Flash这种方式更安全的缺点是,它会破坏合法的(虽然理论上严重编码)在许多网站建设上的功能。
冲浪者应针对攻击的可能出现的风险减轻他们的浏览器风险,如禁用Flash或使用浏览器插件,例如Firefox或者NoScript的ToggleFlash对IE插件,以尽可能减少出现在他们视野的内容。
