据USCERT发出的一个警告,Adobe Shockwave播放器中一个不当的功能可能潜在会导致攻击者在浏览器插件中装载易受攻击的文件,从而使用户暴露在路过式攻击和其他问题之下。
USCERT表示,该威胁普遍存在于对Shockwave播放器进行功能扩展的Xtras文件包中。据周一发布的一个公告,该文件存储在Shockwave本身,使攻击者可以加载旧的、易受攻击的Xtras文件。当Shockwave播放一个影片时,Xtras可以被安装并自动利用。
“如果Xtra是由Adobe或Macromedia公司签署的,那么它无需用户交互就会自动安装,”USCERT警告道。根据公告,这个长期存在的问题在2010年引起了Adobe公司的关注。它影响在Mozilla Firefox和Internet Explorer浏览器上运行“简化版”Shockwave播放器的用户。
该攻击非常容易实施,尽管一直没有报告称它被网络犯罪分子积极利用。攻击者可以诱使用户查看恶意Shockwave内容,然后以用户的权限执行恶意代码。
Adobe承认该问题,并表示其工程团队计划在2月发布一个更新来解决它。“Adobe正努力在下一个Adobe Shockwave播放器主流版本中解决这个问题,我们目前还没有获悉这种特殊技术被广泛利用或进行攻击。
USCERT说,直到发布更新前都没有切实可行的解决办法。但事实上,个人和组织可以采取一些措施来减轻这种威胁,如通过限制处理不受信任的内容。其他的方法还包括使用浏览器插件,如在Mozilla浏览器中运行Shockwave播放器就可以安装NoScript,或使用白名单只通过那些受信任的网站。企业还可以在IE中禁用Shockwave Player ActiveX控件,不过这可能会引起一些网页中的问题。
Windows用户可以通过启用数据执行保护(DEP)来进一步加强保护,该功能可以限制代码执行,从而使网络犯罪分子更难利用该漏洞。
