Flash爆发0day高危漏洞请立即更新FlashPlayer

有数百位 Gmail 用户账号遭到入侵,虽然Google说这并不是因为Gmail的漏洞所导致,但一些人依然认为是Gmail漏洞问题,到了今天问题已经明朗了。

问题的源头正是Adobe Flash所导致!受影响的版本有 OS X、Linux、Windows与 Solaris 上的 Flash 10.3.181.16(含旧版),Android 平台上的Flash 10.3.185.22(含旧版)。它攻击的方式是由一封钓鱼邮件开始,信件的内容利用诱拐的方式,欺骗使用者点击了一个连结,而这个连接会开启一个 Flash 檔, 使用 Flash 的 Redirect 对Gmail进行伪造的跨站请求,并且在这个过程中转介到攻击者本身的信箱当中。

该样本目前已经被提取,由于使用DoSWF方式加密目前还无法解密,但攻击手法已经确定,建议Google或其他同构型服务的公司,应该修改认证程序,在转介新的授权信箱时,要求使用者动手重新再输入一次密码,如此这类自动授权的问题将可被有效断绝。

目前Adobe已经释出了更新版,还有 Chrome 内建 Flash 的更新版,强烈建议马上进行更新,以免遭到攻击。