【IT专家网独家】Google安全研究人员Richard Cannings日前发表的一篇论文称，包括Adobe Dreamweaver和InfoSoft FusionCharts在内的至少五个网站编辑软件制作的Flash文件都能够被网络诈骗分子用来实施跨站脚本攻击。攻击者创建一个把Javascript代码传送到Flash文件的链接，引诱受害者在可信赖的网络服务器的环境中运行恶意代码。

　　IT专家网观测发现，虽然准确地指出哪一个网站在运行有安全漏洞的Flash文件是很困难的，但通过测试发现，大量的网站确实存在Flash跨站脚本攻击漏洞XSS。

　　由于这个问题不是Adobe PDF软件漏洞中的那种通用的XSS问题，跟踪这些问题是很困难的。我们必须要找出对Flash文件进行反编译或者逆向工程的方法才能确定这种文件使用了哪一种网络编辑工具并且更新我们的安全漏洞扫描器。这样，安全人员就可以像网络应用程序一样测试Flash文件。

　　研究人员称，这个问题与Adobe上个月修复的Flash文件安全漏洞不是一回事。Adobe在2007年12月修复了Flash软件中的10个重要的安全漏洞。其中包括修复了一个利用asfunction协议管理器和navigateToURL()函数实施跨站脚本攻击的安全漏洞。InfoSoft公司在2007年12月24日修复了该公司软件中的跨站脚本安全漏洞，其方法是仅允许装载相关的URL而不是装载绝对的URL。

　　安全专家Grossman强调指出，有安全漏洞的Flash动画在网络上还将存在一段时间，因为网页编辑人员首先要解决他们编辑工具的问题，然后创建新的Flash文件和把这些文件上载到网站。在许多情况下，第三方开发人员负责维护网站。这将推迟网站解决这个问题的时间。

      IT专家网原创文章，未经许可，严禁转载！