Facebook及MySpace被爆有重大漏洞

http://www.ithome.com.tw/itadm/article.php?c=57967


雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞，但外界及Schaap皆認為，應該已有開發人員發現此一漏洞，只是一直未被揭露。

一名Facebook應用程式開發人員Yvo Schaap指出，Facebook及MySpace含有重大安全漏洞，雖然該漏洞已修補，但可能已讓駭客取得上述社交網站使用者資料。

Schaap說明，一般而言，來自於A網域的flash應用程式無法存取B網域的資料，但這同時也限制了flash應用程式的能力，Adobe為了解決該問題推出了crossdomain.xml以讓特定網域能夠存取其他網域的資料。

即使透過crossdomain.xml，Facebook仍舊禁止非Facbook網域的Flash程式存取主要網域資料，但允許任何flash應用程 式存取子網域的資料。不過，Schaap發現，該子網域儲存了所有Facebook的資產，包括Facebook用戶程序（user session）。

Schaap指出，這代表如果使用者是採用自動登入Facebook，就能透過上述程序看到使用者的全名，還可利用使用者的憑證執行Facebook上的功能，更嚴重的是，大多數的Facebook用戶皆啟動了自動登入功能。

隨後Schaap檢驗MySpace並指出該站也有類似的漏洞。Schaap認為，很輕易就可想到相關漏洞的各種攻擊途徑，所需的就只是自動登入 cookie及一個含有惡意Flash檔案的網站，駭客可以自動代為張貼使用者訊息，以吸引使用者的友人造訪惡意站，或是在神不知鬼不覺的情況下蒐集使用 者的個人資訊。

雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞，但外界及Schaap皆認為，應該已有開發人員發現此一漏洞，只是一直未被揭露，使用者的資料可能早就外洩了。