Adobe今天证实,他们周日修补的Flash Player漏洞被用来窃取谷歌的Gmail用户的登录凭证。
该漏洞是在“出带外”或紧急更新补丁昨天。整个解决方案为Flash今年第五次在不到四个星期,第二,和。一个周末的补丁是非常不寻常的Adobe。
“我们有报道称,此漏洞在设计来欺骗用户点击在电子邮件中发送的恶意链接上的活动目标攻击的漏洞攻击,”在今天回答提问时说的Adobe发言人WIEBKE嘴唇。“我们收到的报告显示,目前攻击是专门针对Gmail的。但是,我们不能想当然地认为其他网络邮件提供商可能无法有针对性的为好。”
根据Adobe的咨询, Flash漏洞是一个跨站点脚本错误。
身份窃贼经常利用跨站点脚本漏洞从易受攻击的浏览器中劫持用户名和密码。在这种情况下,浏览器本身不是目标;相反,攻击者正在利用几乎每个用户都安装的Flash Player浏览器插件。
Adobe表示,谷歌向其安全团队报告了Flash播放器的漏洞。
试图窃取帐户信息进行有针对性的攻击是家常便饭,但自从上周三,当谷歌指责中国黑客,他们已经在新闻中被突出针对美国高级政府官员还有一些人正在长期从事窃取Gmail用户名和密码的活动。
中国已经否认谷歌的指控。调查的联邦调查局(FBI)正在调查谷歌的指控。
旨在窃取使用Flash Player漏洞的Gmail帐户信息的攻击,但是,比谷歌上周承认不同。这些攻击,这一直在积极,因为至少二月,没有依靠一个漏洞,而是欺骗受害者到一个假的Gmail登录屏幕上输入自己的用户名和密码。
的Adobe更新了在Windows,Mac OS X和Flash Player周日的Linux版本,并表示将遵循与Android的版本在这个星期的修补程序。
谷歌,其捆绑的Flash播放器的Chrome,还更新了浏览器周日,更新了三个发行渠道——稳定版、测试版和开发版——加入了补丁版本的Flash。
的Adobe评为错误为“重要”,第二最高的四个步骤的威胁评分系统排名。在Adobe的计划,即评价表明,攻击者可能能够在受害计算机上访问的数据,但可以在机器上没有植物的恶意软件。
虽然大多数Flash漏洞也可以使用特制的PDF文档被利用 - Adobe的阅读器包含一个名为“authplay.dll”组件呈现在PDF中的Flash内容 - Adobe表示这不是其受欢迎的读者不确定是否包含缺陷。
“Adobe公司仍在调查影响到Authplay.dll组件,”该公司的顾问说。“Adobe是不知道在野外针对Adobe Reader或Acrobat的任何攻击。”
当Adobe并未透露是否阅读器 - 和FOR-A-费的Acrobat - 将打补丁,该程序被提名为更新6月14日修复漏洞等公司在authplay.dll先前承认。
运行比Chrome浏览器其他浏览器用户下载的补丁版本从Flash Player中的Adobe的网站。
Flash的更新机制 - 添加到Mac版刚刚在上个月 - 应该踢在所提供的补丁的插件。
格雷格·凯泽涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多关于安全在计算机世界的安全主题中心。
这个故事,“黑客会利用对Gmail用户的新攻击的Flash漏洞”最初发表计算机世界 。