‍‍早在2011年Adobe Flash就发布的安全漏洞补丁至今仍未能奏效，时至今日攻击者依旧可以利用该漏洞进行攻击，Alexa排名前十的热门网站中有三家都受该漏洞的影响。 

漏洞描述

领英网安全研究员Luca Carettoni和Minded Security公司的安全顾问Mauro Gentile二人共同发布的研究结果显示，在完全更新的web浏览器和Flash插件中，攻击者仍然可以利用存在漏洞的Flex软件开发者工具包编译的Shockwave Flash文档。Carettoni和Gentile将他们的研究结果告知了易受该漏洞影响的热门网站以及Adobe。 

一位Adobe发言人介绍，公司已经发现了Flex的问题并且在2011年发布了一个可以修复漏洞的工具。研究人员已经公开了部分漏洞的细节，并计划在对漏洞有更深入的了解后，发布全部漏洞细节以及相关POC。

攻击详情

若攻击者对此漏洞加以利用，他们能从该系统中通过伪造一个同源请求，或者伪造一个跨站请求并以用户的身份运行受损的程序，从而盗取用户信息。在这两种情况下，攻击者都会强迫受害者访问被恶意篡改过的网页。 

换句话说，如果在修复过的web浏览器或者插件中存在有漏洞的SWF文档，这样会间接的导致同源策略（Same-Origin-Policy）绕过。

这两位研究者在博客中写到，

通常来说，攻击者可以强制被感染的Flash movies执行同源请求，然后将请求到的信息返回给攻击者；因为HTTP请求中包含了用户的cookies,所以返回的信息中必定包含用户的个人信息，如，反CSRF令牌、用户数据等。

安全建议

为了缩减该漏洞的影响范围，建议用户重新编译Flex SKDs静态库，安装2011年Adobe官方发布的补丁工具。如果你觉得以后都不会使用这些文件，就直接点删除按钮删除就最安全了。

‍‍[参考来源‍‍threatpost‍‍，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]