http://www.ithome.com.tw/itadm/article.php?c=49134 骇客收割SQL Injection成果　发动Flash零时差攻击 文/赵郁竹 2008-05-28 骇客已经在昨天下午开始发动Flash的零时差攻击，而上周发现的十万网页遭SQL Injection攻击，就是在替此次的零时差攻击布局。 本周二（5/27）开始，安全厂商纷纷发现已有骇客开始针对Adobe Flash发动大规模零时 差攻击（Zero Day Attack），利用具备rootkit功能的後门程式，窃取使用者帐号密码。 使用者在Adobe释出修补程式前，最好先将Flash关闭。 包括趋势科技、阿码科技、WebSense等资安业者上周都发稿指出，骇客针对中文网页发动 大规模SQL Injection攻击。一夜之间有十万个网页遭植入恶意程式，且可能是同一集团 所为，台湾也有数千个知名大站受影响。 当时就已有资安厂商推测，犯罪集团正在进行大规模网站布局，等待下一个浏览器零时差 攻击出现後大量收割。包括趋势科技、赛门铁克、阿码科技等资安厂商也都在昨天开始发 现骇客发动Flash零时差攻击。 趋势科技Trend Lab在昨天发现首次针对Flash的零时差攻击，并已将最新危险网页加入 WRS中。趋势科技资深技术顾问戴燊指出，骇客是透过已在上波攻击受害的网站中，将使 用者转址到预藏swf档案的网页，使用者就会自动执行Flash而受害。也就是说，上波受害 的十万中文网页现在都有危险。 阿码科技执行长黄耀文则表示，骇客已经在昨天下午开始发动Flash的零时差攻击，而上 周发现的十万网页遭SQL Injection攻击，就是在替此次的零时差攻击布局。 他说，上周许多被植入的javascrip都是空的，并不会作用，也因此包括Google搜寻的危 险网站警告、或是阿码的Hack Alert都侦测不到。一直等到骇客现在手上已经掌握了漏洞 後发动零时差攻击，加上又是透过使用率相当高的Flash，因此影响力会相当大。 赛门铁克是透过全球智慧侦测网路发现Flash零时差攻击的情形，赛门铁克资深技术顾问 庄添发表示，昨天凌晨接到总部讯息告知，有骇客利用Flash的swf档案进行攻击，且是大 量的、自动化工具。 他进一步指出，这次的攻击主要是利用SQL Injection植入scrip，如在Google输入「 dota11」就可找到上万笔被植入此程式的网站，使用者点入那些网站时，恶意程式就会自 动呼叫执行swf档，使用者也会因此受害。 黄耀文进一步解释此次攻击的特殊之处，他说，先前骇客都是靠手动的方式，透过SQL Injection入侵，且挂在网站上的攻击并非零时差，而是当使用者某些元件中没有安装修 补程式时才会受害。此次却是自动化的攻击，并且透过Flash进行大量零时差攻击，使用 者可能根本不会注意到，不过影响力会相当大。 零时差攻击虽然并非新模式，不过戴燊指出，利用Flash漏洞的零时差攻击还是第一次。 先前例如微软Windows在去年传出的动态游标档案（.ani）的漏洞，也是零时差攻击的案 例。 由於零时差攻击只能等待软体厂商释出更新修补程式，Adobe已得知此讯息，正在加紧修 补中。因此在尚未安装更新程式前，使用者最好暂时先关闭Flash，才能确保安全。 -- 听说签名档没有相簿就不是乡民 http://picasaweb.google.com/megaman.garbagecan --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.69.128.66