谷歌信息安全工程師米歇爾·斯帕格魯諾(Michele Spagnuolo)周二表示，一種與Adobe Flash文件有關的攻擊方式正導致數百萬用戶的身份認證信息面臨風險，而涉及的網站和服務包括eBay、Tumblr和Instagram。

通過這種攻擊方式，攻擊者可以在Flash文件中植入惡意命令。在對這一安全威脅進行技術分析之后，Adobe已于周二發布補丁，在很大程度上解決了這一威脅。不過，終端用戶安裝這一補丁的過程可能需要幾天至幾周，因此研究人員建議，大型網站的工程師在服務器一側進行調整，以降低風險。

目前已知eBay、Tumblr、Instagram和Olark等網站和服務可能受到影響。而攻擊者可以竊取網站發送給終端用戶的身份認證Cookies和其他數據。Twitter(37.84, -0.22, -0.58%)和谷歌的多個服務近期已針對這一漏洞進行了修復。

這種攻擊方式依賴于已存在多年的代碼行為，這是為了使普通SWF文件中的二進制內容可以轉換為完全基于字母數字的內容。這一轉換通常發生在壓縮SWF文件，使其支持JSONP技術的過程中。而這可以用于設置瀏覽器Cookies，或執行其他任務。

斯帕格魯諾開發了一款概念驗證工具Rosetta Flash。該工具使用了一種新的編碼方法，能在只包含字符的SWF文件中加入惡意命令。使用這一工具制作的SWF文件能使用訪客的Flash應用發送網絡請求，從而獲取JSONP網站設置的身份認證Cookies和其他文件。因此，如果有惡意網站集成這種SWF，那么就可以獲得此前由eBay等網站設置的身份認證Cookies，假冒用戶進行身份認證請求。