在个人电脑普及率接近99%的Adobe Flash Player惊传零时差攻击，资安专家建议，在Adobe释出修补程式前，最好暂时关闭Flash外挂。(ZDNet记者马培治／台北报导)

资安业者阿码科技与McAfee今(28)日先后发出资安警讯，表示发现利用Adobe Flash Player未公开漏洞进行的一波恶意攻击，表示有偷取密码及远端执行任意程式码等恶意行为。McAfee在官方部落格上表示，刚发现此一最新零时差攻击，但仍须进一步调查，阿码科技CEO黄耀文则表示，早在上周(5/23)起便发现利用Flash进行攻击的行为，当时定位为利用已知漏洞的旧攻击手法而未进一步研究，但今天清晨发现是零时差攻击，便立刻发出资安警讯。

生产Flash Player的Adobe已证实留意到此一状况，但未提供进一步消息。台湾Adobe行销经理彭凤仪表示，总公司目前正和赛门铁克合作调查可能的漏洞，不过对于修补程式推出的时程等细节则未能提供，但表示一有确切讯息便会发布。

广受采用的Adobe Flash并非首次传出漏洞，在2005及2006年，便分别传出漏洞，在今(2008)年三月的一场骇客破解大赛中，便有骇客利用Flash漏洞攻破号称微软有史以来最安全作业系统的Windows Vista，不过Adobe已修补该漏洞。

值得注意的是，此波利用Flash漏洞进行的零时差攻击，被认为是本月中以来在华文地区肆虐的大规模SQL Injection攻击的延续。

黄耀文表示，由于上波SQL Injection攻击中发现的大量被植入的网址，本身却无恶意行为，有如小偷进了家门却不偷东西的怪异举止，该公司怀疑骇客仅在进行布局，「如今证实他们打算利用零时差进行真正的攻击，」他说。

趋势科技资深技术顾问戴燊则进一步解释，骇客这次在上一波攻击中植入的、原来并无恶意行为的网址中，加入了有害的SWF(Flash)档案，让使用者浏览了即会中标，初步统计已有数千个恶意网页，网域则多半位在中国。

由于引发攻击的Flash漏洞尚未被修补，因此专家建议使用者，最好先暂时关闭Flash，以防万一。

黄耀文表示，初步测试大部份防毒软体尚无法阻挡此一零时差攻击，他建议使用者在Adobe发表修补程式前，先在浏览器的设定中，将「Shockwave Flash Object」选项停用。

赛门铁克资深技术顾问庄添发则表示，该公司资安产品已能抵御这项零时差攻击，但他仍建议一般用户对于来路不明的网页、连结与档案等，最好不要点击。

戴燊则表示，趋势科技的网页信誉评等服务WRS已可封锁这些恶意连结，不确定自己使用的资安软体能否抵御此攻击的用户，除了暂时停用Flash外，他亦建议采用目前已免费释出的英文版WRS元件进行网页过滤。

新闻来源: ZDNet

啊勒，那像 youtube 那些影片都是用 flash 的也...

骇客收割SQL Injection成果　发动Flash零时差攻击

文/赵郁竹 2008-05-28

骇客已经在昨天下午开始发动Flash的零时差攻击，而上周发现的十万网页遭SQL Injection攻击，就是在替此次的零时差攻击布局。



本周二（5/27）开始，安全厂商纷纷发现已有骇客开始针对Adobe Flash发动大规模零时差攻击（Zero Day Attack），利用具备rootkit功能的后门程式，窃取使用者帐号密码。使用者在Adobe释出修补程式前，最好先将Flash关闭。

包括趋势科技、阿码科技、WebSense等资安业者上周都发稿指出，骇客针对中文网页发动大规模SQL Injection攻击。一夜之间有十万个网页遭植入恶意程式，且可能是同一集团所为，台湾也有数千个知名大站受影响。

当时就已有资安厂商推测，犯罪集团正在进行大规模网站布局，等待下一个浏览器零时差攻击出现后大量收割。包括趋势科技、赛门铁克、阿码科技等资安厂商也都在昨天开始发现骇客发动Flash零时差攻击。

趋势科技Trend Lab在昨天发现首次针对Flash的零时差攻击，并已将最新危险网页加入WRS中。趋势科技资深技术顾问戴燊指出，骇客是透过已在上波攻击受害的网站中，将使用者转址到预藏swf档案的网页，使用者就会自动执行Flash而受害。也就是说，上波受害的十万中文网页现在都有危险。

阿码科技执行长黄耀文则表示，骇客已经在昨天下午开始发动Flash的零时差攻击，而上周发现的十万网页遭SQL Injection攻击，就是在替此次的零时差攻击布局。

他说，上周许多被植入的javascrip都是空的，并不会作用，也因此包括Google搜寻的危险网站警告、或是阿码的Hack Alert都侦测不到。一直等到骇客现在手上已经掌握了漏洞后发动零时差攻击，加上又是透过使用率相当高的Flash，因此影响力会相当大。

赛门铁克是透过全球智慧侦测网路发现Flash零时差攻击的情形，赛门铁克资深技术顾问庄添发表示，昨天凌晨接到总部讯息告知，有骇客利用Flash的swf档案进行攻击，且是大量的、自动化工具。

他进一步指出，这次的攻击主要是利用SQL Injection植入scrip，如在Google输入「dota11」就可找到上万笔被植入此程式的网站，使用者点入那些网站时，恶意程式就会自动呼叫执行swf档，使用者也会因此受害。

黄耀文进一步解释此次攻击的特殊之处，他说，先前骇客都是靠手动的方式，透过SQL Injection入侵，且挂在网站上的攻击并非零时差，而是当使用者某些元件中没有安装修补程式时才会受害。此次却是自动化的攻击，并且透过Flash进行大量零时差攻击，使用者可能根本不会注意到，不过影响力会相当大。

零时差攻击虽然并非新模式，不过戴燊指出，利用Flash漏洞的零时差攻击还是第一次。先前例如微软Windows在去年传出的动态游标档案（.ani）的漏洞，也是零时差攻击的案例。

由于零时差攻击只能等待软体厂商释出更新修补程式，Adobe已得知此讯息，正在加紧修补中。因此在尚未安装更新程式前，使用者最好暂时先关闭Flash，才能确保安全。

原文出处：http://www.ithome.com.tw/itadm/article.php?c=49134

请大家自行检查自己的网站是否已被SQL Injection攻击，而成为本次FLASH零时差攻击的跳板

检视方法：
使用IE浏览器 检视自己的网站（http://xxx.xxxx.xxx.xxx），然后利用检视原始档的功能，检视原始码

并在原始档中搜寻「dota11」，若找到类似以下程式码，就表示你中招了

如：
＜script src=http://www.dota11.cn/m.js＞＜/script＞......

由于本SQL Injection攻击方法为将此段程式码塞入资料库栏位当中，因此光检查你自己手上的原始档是不会找到这些内容的，一定要找你放在网路上的才行。

基本上若你的网页没有用到资料库，可能就不会有事，否则请检查

以下为GOOGLE中找得到的被攻陷名单

http://www.google.cn/search?complete=1&hl=z...dota11&start=0&sa=N

YAHOO找到的被攻陷名单

http://tw.search.yahoo.com/search?ei=UTF-8&fr=sfp&p=do...l=0&vf=all&vd=all&iscqry=

转贴自 http://bbs.flash2u.com.tw/di...44_1_1.html

感谢告知新讯息，针对：
将「Shockwave Flash Object」选项停用
应该如何停用？请指导一下，谢谢！

图 1.

图 2.

下面是引用andyf于2008-05-31 07:42发表的 :
感谢告知新讯息，针对：
将「Shockwave Flash Object」选项停用
应该如何停用？请指导一下，谢谢！

你可以点上面的 工具->网际网路选页 ->程式集

非常感谢指导。再请教：
目前是否只要安装防毒软体及更新到最新病毒码，
就不需要把它停用了？

最新消息是
只有flash 9.0.115.0或之前的版本受影响
所以一般使用者请更新到9.0.124.0

检查你的flash是哪个版本
http://kb.adobe.com/selfservice/vie...rnalId=tn_15507