http://www.ithome.com.tw/itadm/article.php?c=57967
雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞,但外界及Schaap皆認為,應該已有開發人員發現此一漏洞,只是一直未被揭露。
一名Facebook應用程式開發人員Yvo Schaap指出,Facebook及MySpace含有重大安全漏洞,雖然該漏洞已修補,但可能已讓駭客取得上述社交網站使用者資料。
Schaap說明,一般而言,來自於A網域的flash應用程式無法存取B網域的資料,但這同時也限制了flash應用程式的能力,Adobe為了解決該問題推出了crossdomain.xml以讓特定網域能夠存取其他網域的資料。
即使透過crossdomain.xml,Facebook仍舊禁止非Facbook網域的Flash程式存取主要網域資料,但允許任何flash應用程 式存取子網域的資料。不過,Schaap發現,該子網域儲存了所有Facebook的資產,包括Facebook用戶程序(user session)。
Schaap指出,這代表如果使用者是採用自動登入Facebook,就能透過上述程序看到使用者的全名,還可利用使用者的憑證執行Facebook上的功能,更嚴重的是,大多數的Facebook用戶皆啟動了自動登入功能。
隨後Schaap檢驗MySpace並指出該站也有類似的漏洞。Schaap認為,很輕易就可想到相關漏洞的各種攻擊途徑,所需的就只是自動登入 cookie及一個含有惡意Flash檔案的網站,駭客可以自動代為張貼使用者訊息,以吸引使用者的友人造訪惡意站,或是在神不知鬼不覺的情況下蒐集使用 者的個人資訊。
雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞,但外界及Schaap皆認為,應該已有開發人員發現此一漏洞,只是一直未被揭露,使用者的資料可能早就外洩了。
網誌存檔
-
▼
2010
(25)
-
▼
3月
(25)
- YouTube 將在3月13日停止支援IE6
- 微軟參加IE6葬禮並獻花
- 為什麼人們還在使用 IE6
- [Photoshop]快速膠囊畫法
- 快速自製背景圖
- Photoimpact 12 紅眼
- Photoshop CS2 安裝教學
- 揭秘卡巴斯基總部:實時監控全球病毒
- 微軟將釋出新一波安全更新 Windows 7漏洞獲修補
- Office 2010將提升安全性
- 情人節電子賀卡藏病毒 專家籲民眾小心
- 網安/殺不死?殭屍病毒會自動上網更新變種難防
- Windows 7 Beta官方推薦三款殺毒軟件
- 『軟體防火牆評比大集合,歡迎大家提供網址資料!』
- 黑客利用微軟“黑屏”正版驗證計劃傳播病毒
- 國際/"歐巴馬病毒"肆虐 數百萬電腦用戶受威脅
- 微軟:4成盜版軟體可能暗藏木馬(2009-03-30)
- 資安業者發現190萬台電腦的殭屍網路
- 惡意網頁多 防毒產品攔截效果仍待提升
- 偽造防毒軟體 全球四千多萬人受害(2009-10-28)
- 趨勢科技:台灣PC惡意程式感染量居全球第三(2009-11-26)
- AV-test.org 防毒程式評比 (2008-09-02)
- Facebook及MySpace被爆有重大漏洞
- 賽門鐵克:假冒免費版安全軟體的惡意程式比例增加
- iT自救術─Windows 7防毒基本概念
-
▼
3月
(25)
2010年3月7日 星期日
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言