iT邦幫忙

0

請問什麼是Flash零時差攻擊?

在ithome今天的新聞頭條提到「駭客收割SQL Injection成果 發動Flash零時差攻擊」,請問什麼是Flash零時差攻擊?要如何發動及防止這類型的攻擊?

看更多先前的討論...收起先前的討論...
john651216 iT邦研究生 1 級 ‧ 2008-05-29 17:18:11 檢舉
他們應該是為$$而來,不知道誰要出事 ?
davistai iT邦大師 1 級 ‧ 2008-05-29 17:58:55 檢舉
不是針對Adobe去的嗎??
john651216 iT邦研究生 1 級 ‧ 2008-05-29 19:38:50 檢舉
應該不是單純對adobe
魯大 iT邦高手 1 級 ‧ 2008-05-30 14:00:16 檢舉
看來是有兩批人在搞..
Oh~ My GOD~
用氣功擋回去吧..
yuarchie iT邦新手 2 級 ‧ 2008-05-31 20:41:48 檢舉
請問要怎麼關Flash?
davistai iT邦大師 1 級 ‧ 2008-05-31 20:53:35 檢舉
有人去download Adobe flash 更新程式了嗎? 有效用嗎?
yangfu iT邦新手 3 級 ‧ 2008-06-17 06:14:47 檢舉
我記得在website上執行flash object時,會有相關的access setting!好像允許遠端....那將那些關閉掉!不是就可以避免掉flash漏洞的攻擊嗎?
還有SQL INJECTION不是老漏洞嗎?為何到現在還是屬於有效性的攻擊呢?這個情況身為系統管理人員可就要檢討了!how to fix this bug->MS早就已經在其相關技術文件上宣告了!可是有做嗎?當然沒有!所以漏洞依然!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

38
jhwang
iT邦好手 10 級 ‧ 2008-05-29 09:42:54

您新聞沒有看清楚

Flash零時差攻擊是指:零時差攻擊Flash的漏洞,原文轉貼如下:
黃耀文進一步解釋此次攻擊的特殊之處,他說,先前駭客都是靠手動的方式,透過SQL Injection入侵,且掛在網站上的攻擊並非零時差,而是當使用者某些元件中沒有安裝修補程式時才會受害。此次卻是自動化的攻擊,並且透過Flash進行大量零時差攻擊,使用者可能根本不會注意到,不過影響力會相當大。

防止的方法,新聞後面也有提到,原文轉貼如下:
由於零時差攻擊只能等待軟體廠商釋出更新修補程式,Adobe已得知此訊息,正在加緊修補中。因此在尚未安裝更新程式前,使用者最好暫時先關閉Flash,才能確保安全。

發動的方法,原文轉貼如下:
利用SQL Injection植入scrip,如在Google輸入「dota11」就可找到上萬筆被植入此程式的網站,使用者點入那些網站時,惡意程式就會自動呼叫執行swf檔

我要發表回答

立即登入回答