請問什麼是Flash零時差攻擊？

網頁安全 flash 零時差攻擊

灌籃高手 2008-05-29 09:31:33 ‧ 7293 瀏覽

分享至

在ithome今天的新聞頭條提到「駭客收割SQL Injection成果發動Flash零時差攻擊」，請問什麼是Flash零時差攻擊？要如何發動及防止這類型的攻擊？

看更多先前的討論...收起先前的討論...

john651216 iT邦研究生 1 級 ‧ 2008-05-29 17:18:11 檢舉

他們應該是為$$而來,不知道誰要出事 ?

davistai iT邦大師 1 級 ‧ 2008-05-29 17:58:55 檢舉

不是針對Adobe去的嗎??

john651216 iT邦研究生 1 級 ‧ 2008-05-29 19:38:50 檢舉

應該不是單純對adobe

魯大 iT邦高手 1 級 ‧ 2008-05-30 14:00:16 檢舉

看來是有兩批人在搞..
Oh~ My GOD~
用氣功擋回去吧..

yuarchie iT邦新手 2 級 ‧ 2008-05-31 20:41:48 檢舉

請問要怎麼關Flash?

davistai iT邦大師 1 級 ‧ 2008-05-31 20:53:35 檢舉

有人去download Adobe flash 更新程式了嗎? 有效用嗎?

yangfu iT邦新手 3 級 ‧ 2008-06-17 06:14:47 檢舉

我記得在website上執行flash object時，會有相關的access setting!好像允許遠端....那將那些關閉掉！不是就可以避免掉flash漏洞的攻擊嗎？
還有SQL INJECTION不是老漏洞嗎？為何到現在還是屬於有效性的攻擊呢？這個情況身為系統管理人員可就要檢討了！how to fix this bug->MS早就已經在其相關技術文件上宣告了！可是有做嗎？當然沒有！所以漏洞依然！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

davistai

iT邦大師 1 級 ‧ 2008-05-29 10:43:27

最佳解答

簡單說,零時差攻擊，就是駭客利用已公佈出來但尚未修補的軟體漏洞而進行的一種攻擊行為.
補充兩文請參考^^
黑客發起“瞬時攻擊“的危險性
http://translate.google.com.tw/translate?hl=zh-TW&sl=zh-CN&u=http://www.webjx.com/security/basexsrm-2345.html&sa=X&oi=translate&resnum=10&ct=result&prev=/search%3Fq%3D%25E4%25BB%2580%25E9%25BA%25BC%25E6%2598%25AFFlash%25E9%259B%25B6%25E6%2599%2582%25E5%25B7%25AE%25E6%2594%25BB%25E6%2593%258A%26complete%3D1%26hl%3Dzh-TW
揭密頂尖駭客的零時差攻擊內幕
http://big5.pconline.com.cn/b5/www.pconline.com.cn/pcedu/soft/virus/hkgfz/0706/1033234.html

回應
分享
檢舉

登入發表回應

jhwang

iT邦好手 10 級 ‧ 2008-05-29 09:42:54

您新聞沒有看清楚

Flash零時差攻擊是指：零時差攻擊Flash的漏洞，原文轉貼如下：
黃耀文進一步解釋此次攻擊的特殊之處，他說，先前駭客都是靠手動的方式，透過SQL Injection入侵，且掛在網站上的攻擊並非零時差，而是當使用者某些元件中沒有安裝修補程式時才會受害。此次卻是自動化的攻擊，並且透過Flash進行大量零時差攻擊，使用者可能根本不會注意到，不過影響力會相當大。

防止的方法，新聞後面也有提到，原文轉貼如下：
由於零時差攻擊只能等待軟體廠商釋出更新修補程式，Adobe已得知此訊息，正在加緊修補中。因此在尚未安裝更新程式前，使用者最好暫時先關閉Flash，才能確保安全。

發動的方法，原文轉貼如下：
利用SQL Injection植入scrip，如在Google輸入「dota11」就可找到上萬筆被植入此程式的網站，使用者點入那些網站時，惡意程式就會自動呼叫執行swf檔