正在加载...

(如果你觉得有价值需要转载,请注明出处www.awflasher.com,谢谢)
今天看到留言本多了一条留言。
是一个swf。
留言者很小心的用UBB贴上来的,可惜他大概一时疏忽,贴了一个错误的格式。而且,即使是正确的,LBS也自动过滤掉了(终于明白SiC为什么要自动过滤Flash了,真是……sigh啊!)
我实在是天真,以为谁给我看好玩的东东,就点开了,结果立马弹开一个网页,我就发现问题了。
打开ASV,看看,太可怕了,就这么一行代码:

getURL(….)

甚至你可以写

function a()
{
getURL(…);
}
onEnterFrame = a;
//setInterval(a,1);

至少,我还没什么好点子对付这个“漏洞”。不知诸位有何良策。

群里面的讨论:

引用自
 
(2005-11-18 19:43:56) 天亮(39225850)
你用java 或者 c++ 写一个程序,也setInterval (a,1),不是一样死机
(2005-11-18 19:43:26) 天亮(39225850)
这不是漏洞好不好啊
(2005-11-18 19:41:39) 天亮(39225850)
flash 只是打开页面而已
(2005-11-18 19:41:58) 天亮(39225850)
所以最根本的问题还是ms的浏览器漏洞

如果以后越来越多的人留言,那以后所有的swf是不是都要像lbs那样屏蔽起来,你一上来看到的都是一个一个硬生生的矩形,然后上面写着"点击显示Flash"...

(2005-11-18 19:47:17) Action(157290182)
我觉得留言本来就不应该让用户使用flash

[/quote] 

此外……
不知道广告投放的Flash如果是投放者提供的话,被投放者如何检测其中的问题,比如我去某大型网站投放广告。偷偷加一个

if(时间在2005年12月之后) getURL("awflasher","_self");

这样的话他现在查不出来,可是挂到十二月他不就麻烦了……

//个人的看法

不管是谁的过错,这种事情只会给Flash和Flashers抹黑

毫无疑问这个接口是没有得到保护的,而且已经有人使用了(见上连接)说明这种“漏洞”(不管他是IE的还是Flash的)是存在可用性的。

我认为存在就是现实(不是合理),即然有人利用这个东西来干坏事,那很明显这件事物本身应该引起一定重视,至少在大规模出现类似的swf的时候:)

还没找到您要的东西?Google试试看吧,
Google更注重原创、时效性好的文章:


本文相关评论: 才 9 条评论
  1. 小萝卜头 2005-11-18 09:14:30

    内嵌了打开网页代码………….
    目前完全没有办法过滤
    不是开源格式
    只好统统屏弊
    现在AS3.0又大大增强
    天晓得会不会出现Flash的Virus…………

  2. aw 2005-11-18 09:20:58

    是啊,不可不防:(

  3. 星辉一冷 2005-11-19 01:29:11

    这个情况还没碰到过
    不过的确得小心一点
    总有一些人用Flash强大的功能干坏事~ [sad]

  4. tdus 2005-11-21 09:11:15

    蓝色,闪吧很早以前就因为这个而禁止贴swf了……唉,成也flash,败也flash,^_^

  5. Bible 2005-11-25 08:25:46

    呵呵。用FLASH编写病毒听起来挺有意思的!
    以下我在GOOGLE中搜索到的:

    蓝色评论:
    在99年我就自己偿试过在 flash制作的 exe 文件上绑定了木马客户端,经测试,正经可用,当时只是好玩测试,除了当时的绑定工具差一点,绑定的flash的项目文件图标是16色的,和真正的flash4图标有点差距外,其它并无不同,后来找来了 flash3 的图标绑定后,就根本分不出来了,对现在的工具来说,用flashexe 要做一个木马或者病毒更是太容易了,此文号称首例有点夸张,或许只是没有到流传地步吧。

    flash 的player 分两种,
    一种是本地硬盘上的flashplayer.exe文件,这个只要安装了flash软件的就可以在本地,直接点 .swf文件观看,这种情况在早期非常危险,因为是以当前用户的权限执行的,早期的flashplayer可以简单的执行一些写文件的命令,比如把c:\写一个格式化c盘的的autoexec.bat文件。重启后,硬盘就没有希望了。当时由于我们这些flash爱好者的默契,把这些密秘保存了下来,没有造成大的影响。
    ……………………………………..省略拉。
    好象评论字数限制问题!~呵呵。贴不完。

  6. aw 2005-11-25 11:10:43

    99' …. 2 yrs after Flash came into China.

    //bow to all the leaders

  7. Novem 2005-12-01 04:25:45

    我记得AS3.0多了一个沙箱功能
    所以安全还是好的
    至于getURL()那就没办法了
    找MS吧 是IE漏洞

  8. Novem 2005-12-20 10:18:18

    以前在QQ上流传的一种病毒就是装成FLASH5的图标
    那时候还以为是什么贺卡
    运行了一下
    结果郁闷了半天:)

    //个人看法是如果你认为是漏洞的话,那么MM应该怎么改正呢?连IE或者FF也要在虚拟器中打开吗?可能吗?

  9. aw 2005-12-20 11:50:43

    去Danger看看吧!总之安全性的问题是大问题

    杨元庆也说PC市场并没有走到头,还有很多问题要解决,其中一个就是安全性。

    现在很多网站都屏蔽了网友自传的Flash。

[支持Ctrl+Enter]为了我们大家和家人的安全,留言请慎重!
声明:
1、本站仅与见过面的个人博客交换链接,见此文
2、留言时的头像是Gravatar提供的服务。如果您有兴趣并且有闲暇时间,可以看看这里的介绍