谷歌信息安全工程師米歇爾·斯帕格諾洛（Michele Spagnuolo）周二在博客稱，F(xiàn)lash Player的升級補丁存在漏洞。用戶在訪問eBay，Tumblr，Twitter或Instagram等網(wǎng)站后，其計算機可能被駭客控制，數(shù)百萬用戶的身份認證因此面臨風(fēng)險。

從Adobe的公告欄中我們了解到，這個提供給Windows，Mac和Linux計算機用戶的補丁可以將軟件升級到版本14.0.0.145。目前Adobe已經(jīng)將這次威脅設(shè)置為***級別并于周二發(fā)出新的安全補丁，谷歌Chrome和微軟Internet Explorer用戶將會自動安裝新的安全補丁，但未及時下載這一補丁的用戶仍存在安全風(fēng)險。

研究人員建議，大型網(wǎng)站的工程師應(yīng)及時對服務(wù)器進行調(diào)整，主動降低風(fēng)險。目前，Twitter和谷歌的多個服務(wù)器已經(jīng)對這一漏洞進行了修復(fù)。

導(dǎo)致這一漏洞的直接原因是常年以來，普通SWF文件均依賴代碼轉(zhuǎn)換為全部基于字母數(shù)字的內(nèi)容。但在壓縮SWF文件使其支持JSONP技術(shù)的轉(zhuǎn)換過程中能夠設(shè)置瀏覽器Cookies，或執(zhí)行其它任務(wù)。

一款名為Rosetta Flash的概念驗證工具通過使用一種新的編碼方法，能在只包含字符的SWF文件中加入惡意命令。這樣制作的SWF文件就能假冒訪客的Flash發(fā)送網(wǎng)絡(luò)請求，從而獲得JSONP網(wǎng)站設(shè)置的用戶身份認證Cookies和其它文件。