科技时代新浪首页 > 科技时代 > 互联网 > 正文

安全专家:蠕虫利用QuickTime入侵MySpace


http://www.sina.com.cn 2006年12月06日 09:44 赛迪网

  【赛迪网讯】12月6日消息,专家警告,热门的社交网站MySpace出现一段恶意影片,一经播放便可更改使用者的档案,自动植入并增加一个恶意链接。

  据CNET报道,根据网络安全公司Websense上周五(1日)发出的警报,这段QuickTime影片是利用某个MySpace弱点,和针对苹果计算机预设媒体播放器的JavaScript支持。播放后,该影片将自动加入使用者的MySpace网页,并用钓鱼网站取代资料中的链接。截至4日,MySpace的代表尚未就此响应。

  新闻集团(News Corp.)旗下的MySpace是美国相当受欢迎的社交网站,注册会员达7,000万。该蠕虫利用一种普遍的跨站指令网络弱点,外加HREF功能。专家表示,HREF原为追踪监控QuickTime的合法使用,但也可能被滥用。

  F-Secure首席研究员Mikko Hypponen博客文章写道:“看来我们抓到了一只MySpace蠕虫,利用一个恶意的QuickTime MOV档散布。”他指出,这段恶意影片包含某种JavaScript程序代码,以微软IE浏览器观赏后便自动执行,变更使用者的MySpace档案。他写道:“之后,你的MySpace网页的每个访客都会被感染。”

  但一位受害的MySpace使用者对CNET News.com表示,用Firefox浏览器观赏受害网页也会被感染。攻击者的目的显然是要大家造访钓鱼网站,这些恶意网页刻意伪装成MySpace的登入页面,诱骗使用者输入账号密码。

  这并非MySpace初次发生安全问题,黑客曾利用该站的弱点窃取个人数据和散布广告软件。此外,某些MySpace使用者也曾利用该站的弱点炒作自己的名气。专家早已警告,随着网站互动性的增强,安全防卫必须优先考虑,而非事后补救。许多网站的开发考虑完全针对功能,忽略了防护。

  FaceTime Security Labs指出,被感染的MySpace网页会包含多个恶意网站链接,和正常MySpace页面不会出现的蓝色浏览列。FaceTime恶意软件研究主任Chris Boyd说:“假如不幸受害,你必须清除自己的档案,并查询你的朋友是否也被感染。”

  作者:魏芳

爱问(iAsk.com)



论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有