有數百位Gmail用戶帳號遭到入侵

雖然Google說這並不是因為Gmail的漏洞所導致

但一些人依然認為是Gmail漏洞問題

到了今天問題已經明朗了

 

問題的源頭正是Adobe Flash所導致

受影響的版本有OS X, Linux, Windows, Solaris上的Flash 10.3.181.16及舊版

Android平台上的Flash 10.3.185.22及舊版

 

它攻擊的方式是由一封釣魚郵件開始

信件的內容利用誘拐的方式

欺騙使用者點擊了一個連結

而這個連接會開啟一個Flash檔

使用Flash的Redirect對Gmail進行偽造的跨站請求

並且在這個過程中轉介到攻擊者本身的信箱當中

該樣本目前已經被提取,由於使用DoSWF方式加密目前還無法解密,但攻擊手法已經確定

 

建議Google或其他同質性服務的公司

應該修改認證程序,在轉介新的授權信箱時

要求使用者動手重新再輸入一次密碼

如此這類自動授權的問題將可被有效斷絕

 

目前Adobe已經釋出了更新版

還有Chrome內建Flash的更新版

強烈建議馬上進行更新

以免遭到攻擊

 

 

http://bbs.cool3c.com/article/47131

arrow
arrow
    全站熱搜

    pcwiki 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄