2005-11
18
理智地、负责任地、透明地推广Firefox
您可能也对这些感兴趣
切换

(如果你觉得有价值需要转载,请注明出处www.awflasher.com,谢谢)
今天看到留言本多了一条留言。
是一个swf。
留言者很小心的用UBB贴上来的,可惜他大概一时疏忽,贴了一个错误的格式。而且,即使是正确的,LBS也自动过滤掉了(终于明白SiC为什么要自动过滤Flash了,真是……sigh啊!)
我实在是天真,以为谁给我看好玩的东东,就点开了,结果立马弹开一个网页,我就发现问题了。
打开ASV,看看,太可怕了,就这么一行代码:

getURL(....)

甚至你可以写

function a()
{
getURL(...);
}
onEnterFrame = a;
//setInterval(a,1);

至少,我还没什么好点子对付这个“漏洞”。不知诸位有何良策。

群里面的讨论:

引用自
 
(2005-11-18 19:43:56) 天亮(39225850)
你用java 或者 c++ 写一个程序,也setInterval (a,1),不是一样死机
(2005-11-18 19:43:26) 天亮(39225850)
这不是漏洞好不好啊
(2005-11-18 19:41:39) 天亮(39225850)
flash 只是打开页面而已
(2005-11-18 19:41:58) 天亮(39225850)
所以最根本的问题还是ms的浏览器漏洞

如果以后越来越多的人留言,那以后所有的swf是不是都要像lbs那样屏蔽起来,你一上来看到的都是一个一个硬生生的矩形,然后上面写着"点击显示Flash"...

(2005-11-18 19:47:17) Action(157290182)
我觉得留言本来就不应该让用户使用flash

[/quote] 

此外……
不知道广告投放的Flash如果是投放者提供的话,被投放者如何检测其中的问题,比如我去某大型网站投放广告。偷偷加一个

if(时间在2005年12月之后) getURL("awflasher","_self");

这样的话他现在查不出来,可是挂到十二月他不就麻烦了……

//个人的看法

不管是谁的过错,这种事情只会给Flash和Flashers抹黑

毫无疑问这个接口是没有得到保护的,而且已经有人使用了(见上连接)说明这种“漏洞”(不管他是IE的还是Flash的)是存在可用性的。

我认为存在就是现实(不是合理),即然有人利用这个东西来干坏事,那很明显这件事物本身应该引起一定重视,至少在大规模出现类似的swf的时候:)

: http://www.awflasher.com/blog/archives/395

哇!跟我一样,您也是一名Firefox用户,这些话题您可能感兴趣:

RSS feed | Trackback URI

才 9 条评论 ( 展开所有评论 | 收起所有评论 ) 立刻发表评论 »

小萝卜头
2005-11-18 21:14:30

内嵌了打开网页代码.............
目前完全没有办法过滤
不是开源格式
只好统统屏弊
现在AS3.0又大大增强
天晓得会不会出现Flash的Virus............

aw
2005-11-18 21:20:58

是啊,不可不防:(

星辉一冷
2005-11-19 13:29:11

这个情况还没碰到过
不过的确得小心一点
总有一些人用Flash强大的功能干坏事~ [sad]

tdus
2005-11-21 09:11:15

蓝色,闪吧很早以前就因为这个而禁止贴swf了......唉,成也flash,败也flash,^_^

Bible
2005-11-25 20:25:46

呵呵。用FLASH编写病毒听起来挺有意思的!
以下我在GOOGLE中搜索到的:

蓝色评论:
在99年我就自己偿试过在 flash制作的 exe 文件上绑定了木马客户端,经测试,正经可用,当时只是好玩测试,除了当时的绑定工具差一点,绑定的flash的项目文件图标是16色的,和真正的flash4图标有点差距外,其它并无不同,后来找来了 flash3 的图标绑定后,就根本分不出来了,对现在的工具来说,用flashexe 要做一个木马或者病毒更是太容易了,此文号称首例有点夸张,或许只是没有到流传地步吧。

flash 的player 分两种,
一种是本地硬盘上的flashplayer.exe文件,这个只要安装了flash软件的就可以在本地,直接点 .swf文件观看,这种情况在早期非常危险,因为是以当前用户的权限执行的,早期的flashplayer可以简单的执行一些写文件的命令,比如把c:\写一个格式化c盘的的autoexec.bat文件。重启后,硬盘就没有希望了。当时由于我们这些flash爱好者的默契,把这些密秘保存了下来,没有造成大的影响。
............................................省略拉。
好象评论字数限制问题!~呵呵。贴不完。

aw
2005-11-25 23:10:43

99' .... 2 yrs after Flash came into China.

//bow to all the leaders

Novem
2005-12-01 16:25:45

我记得AS3.0多了一个沙箱功能
所以安全还是好的
至于getURL()那就没办法了
找MS吧 是IE漏洞

Novem
2005-12-20 10:18:18

以前在QQ上流传的一种病毒就是装成FLASH5的图标
那时候还以为是什么贺卡
运行了一下
结果郁闷了半天:)

//个人看法是如果你认为是漏洞的话,那么MM应该怎么改正呢?连IE或者FF也要在虚拟器中打开吗?可能吗?

aw
2005-12-20 11:50:43

去Danger看看吧!总之安全性的问题是大问题

杨元庆也说PC市场并没有走到头,还有很多问题要解决,其中一个就是安全性。

现在很多网站都屏蔽了网友自传的Flash。