系統漏洞－Gmail連絡人清單

jodenh

系統漏洞－Gmail連絡人清單

文/iThome (記者) 2007-01-19


Google Video的用戶利用「Pick People to Email」功能，寄送影片給Gmail清單上連絡人，駭客可以藉此取得其它Gmail用戶的連絡人清單，並用來寄送垃圾郵件。



系統漏洞
　

Acrobat Reader
駭客可以利用在正常URL連結後方加上一小段控制碼的方式，發動所謂的XSS（Cross Site Scripting）跨網站攻擊，使得Acrobat、Acrobat Reader以及Acrobat 3D的使用者，以瀏覽器開啟PDF的同時，順便執行特定JavaScript程式碼，結果將會導致瀏覽器畫面轉向到惡意的釣魚網站，以達到竊取個人資料的目的。

據了解，Acrobat與Acrobat Reader 8.0並未受到此次漏洞波及，因此建議舊版Acrobat Reader的使用者應當在軟體設定裡，取消從網頁端開啟PDF的功能（Display PDF in browser），限制使用者僅能在電腦上讀取。

Apple QuickTime
當QuickTime的使用者以RTSP（Real Time Streaming Protocol）協定，連結某些夾帶惡意字串的QTL類型的檔案時，便有可能造成緩衝區溢位，使得應用程式被迫關閉，甚至讓駭客在電腦上任意執行程式碼。

在修補程式尚未釋出之前，可以藉由移除QuickTime，或是避免開啟不明連結的方式，以降低遭入侵的可能性。

HDDVD、Blue-Ray
一位叫做muslix64的駭客以自行撰寫的Java程式「BackupHDDVD」，破解HD DVD、藍光（Blue-Ray，BD）光碟所使用的AACS（Advanced Access Content System）防拷技術，如此一來將可不受限制，在任意的HD DVD裝置播放自己手中的HD DVD影片，作者在YouTube上頭公布了一段影片，實地示範如何使用該軟體備份一片具有AACS防拷的HD DVD影片光碟，不過該影片已經遭到移除。

Gmail
Google Video的用戶可以利用「Pick People to Email」功能，寄送影片給Gmail清單上連絡人，但日前證實駭客可以藉此取得其它Gmail用戶的連絡人清單，並用來寄送垃圾郵件。

Google表示，這項功能在回報之後的數小時內即己修復，沒有任何用戶的連絡人清單因此而外洩，據了解，這是一項名為JSON（JavaScript Object Notation）的JAVA API所產生的漏洞。

資料來源:http://www.ithome.com.tw/itadm/article.php?c=41587