[資安通知] Flash Player 9,0,124,0 安全漏洞

（這篇最後的更新時間好像是 2008.08.13 16:30 UTC+8 左右）

[ 問題概要 | 解決方法 | 監視檢查 | 新安全漏洞 ]

注意一下，這是有安裝 Flash Player 的人都要擔心一下的，不確定你的 Flash Player 版本的話，請上 Macromedia(被 Adobe 買下的 Flash 技術公司)官網查詢你的 Flash Player 版本。（另外我標題沒寫好， 124 是更新版，所以應該寫成「124 修正的～」才好，但是有些非官方網站說這版尚末完全修復，建議各位還是小心點好。）

Firefox 使用者請先暫時安裝 Stop Autoplay 或 NoScript 擴充套件，調一下設定將 Flash 全擋下來，或是參考「懶人筆記」寫的移除舊版並暫時安裝 Flash Player 10 beta 測試版 ，不過免安裝版本的 Firefox 得要自己找到程式安裝路徑下的 plugins 資料夾下的 NPSWF32.dll 砍掉的樣子。（另外擋 Flash 的擴充套件我不推薦 Flashblock 的主要原因是以前有吃 CPU 的不好經驗，新版不知有沒有改善。另外聽人說 MediaWrap 也有類似功能，有裝這個的可以試試。）

詳細的請先看 Adobe 官方 4/8 的公告，這次受影響的是 Adobe Flash Player 「含 9.0.115.0 以前的版本」，還有「含 8.0.39.0 以前的版本」。

問題概要

Flash Player 有安全漏洞 → 在 Flash 中可以塞些東西讓人在瀏覽時不知不覺間去下載惡意程式碼 → 只要是有裝 Flash Player 都會中獎 → 不過依下載的惡意程式碼不同會有不同的安全問題 → 總之擋掉 Flash 或是擋掉 cn 網域可以安全一小段時間 → 重點是要 Adobe 跟 Macromedia 趕快放出更新版來啦（註： 9.0.124.0 有修補好了）

上面是我猜測的，詳細的內容請再看下面的那堆相關連結（尤其是 Trend 網頁的那篇）。另外能讀英文的，看一下這篇說明 SQL Injection Attack 的應該會比較清楚這次的攻擊手法。

在此感謝巴哈洽特上的理察老兄，這篇文章全部的英文網頁連結都他提供的（懶人筆記的連結也是），我只是順手收起來整理而已。當然還有許多在巴哈洽特上參與討論的人，也感謝你們點醒我啦。 XD

解決方法

雖然上 Macromedia 網站可以檢查是不是 9.0.124.0 版，不過 Flash Player 好像不會移除舊版，所以你最好下載執行 Flash Player Uninstaller 一下，再重新安裝 9.0.124.0 版本。（從 Solution 那項底下有兩個連結，一個給 Windows ，一個是給 Mac 用的這樣。）

順帶一提， Firefox 要查電腦裡有沒有安裝 124 之前的 Flash Player 版本，只要在網址列打「about:plugins」就好。

監視檢查

另外想檢查電腦有沒有問題的話，可以上 Sysinternals 網站找掃瞄 Rootkit 、 Registry 、異常連線跟監控檔案的工具……雖然我不知道是哪個啦，上面的東西好多。 XD

總之先找這幾樣來用吧。

• Process Monitor
• Process Explorer
• TcpView
• RootkitRevealer

相關討論

• 駭客收割SQL Injection成果　發動Flash零時差攻擊 | Mozilla Taiwan 討論區
• fx 的 flash 怎麼關掉？ | Mozilla Taiwan 討論區

相關新聞

• 駭客收割SQL Injection成果　發動Flash零時差攻擊 | iThome
• ZDNet Taiwan - 企業應用 - 主題中心 - Flash爆零時差攻擊 專家建議先停用
• Vulnerabilities in latest Flash version
• New Information about latest Flash Vulnerability
• Flash Bugs Exploited in Latest Mass Compromise | TrendLabs | Malware Blog - by Trend Micro
• PC World - Business Center: Symantec Backtracks on Adobe Flash Warning

筆記欄

想拆開 Flash 研究可以用「Sothink SWF Decompiler」，目前會警告使用者這問題的防毒軟體有 NOD32 ；還有就算是 124 的也還是會把有問題的 Flash 下載回來，建議還是移除或擋掉 Flash ，雖然新版下載回來有沒有把遠端的惡意程式再下載回來跑我不清楚倒是。（註：目前賽門鐵克也說明 124 不會碰上這次的問題了）

[網頁設計] 平平一樣功能，有人的就是比較快。

前言

とっぱら的介紹網頁技術實在太恐怖啦！

以最近一年很流行的把縮圖放大到畫面中央，或類似的表現方式來說，有些人的讀完網頁後，點了縮圖才開始讀大圖，點了下一張才開始讀這下一張，而且因為這種放大圖片功能是載入「背景圖片」，所以還沒出來前都是空空的。

要解決這些煩人問題，大概就是讀好網頁時預載一部分或全部的完整圖，然後點擊某張圖後，就開始預載上下一張圖，而且盡量把讀取訊息放小一點。

不過這樣還是會有個問題，就是這些預載的圖片沒讀完的話，點開來時是不會自己重讀的，還是得手動重刷一下整個頁面。（我猜大概是因為連圖片都要搞檢查完整性會讓處理速度變慢的關係，才會放著圖片沒傳完也不管。）

Brief 自訂外觀說明文

前言

這篇文是為了配合 Brief 1.2 的「自訂消息來源欄位的外觀(Customize the appearance of feeds)」功能中提供的教學網頁而寫的，原始頁面是 Brief - a feed reading extension for Firefox 。

另外 Brief 是 Firefox 上用來閱讀 RSS/ATOM 資料用的附加元件啦，不過 Brief 1.2 版得要 Fx3 以後的版本才能用就是。

可以利用的元素

官網的教學文章寫得比較詳細，所以我這裡挑簡單的幾個元素來說明就好。還有官網的就是整個 Brief 的介面架構了，所以你可以按照官網的說明修改整個介面。

• 各項目的標題超連結文字：就是「div class="article-title-link"」
• 各項目的時間跟作者資訊等的那一行：都放在「div class="article-subheader"」裡面
• 各項目的內容：放在「div class="article-content"」這裡

然後眼尖的人可能會發現「各項目的標題超連結文字」有兩處，這是因為有分為「只顯示標題」的模式，跟「顯示全部內容」的模式兩種。總之「div class="article-container"」裡寫的就是完整顯示的內容，而「div class="article-container"」裡的則是收褶到只留標題的顯示模式。

可以利用的樣式

基本上可以填任何 Firefox 3 支援的 CSS 規則，不過各位最常用到的應該就是字型大小之類的吧，這裡先教這個就好。

舉例來說，想要修改各項目中的標題、時間跟作者資訊等等、還有內容的字型大小的話，只要這樣寫就好。

.article-title-link { font-size: 18px !important }
.article-subheader { font-size: 12px !important }
.article-content { font-size: 16px !important }

上面的三個數字就是改字型大小的，各位可以自行試試。

寫好後，開 Brief 選項視窗，在「顯示」的大項目下，有個「自訂」的按鈕，點下去會打開來一個新視窗，裡面是可以編輯的區域，還寫了一些字。

如果你看不懂的話，就不要管裡面寫了啥字，直接游標移到這個編輯區域最尾巴那，按幾下 Enter 鍵隔幾行，再貼上上面舉例的那三行之類的上去，然後按「確定」按鈕離開編輯畫面，就會即時顯示字型大小變化了。（大概吧）

淡化廣告項目

如果你有訂閱一些網誌的 RSS/ATOM 的話，應該也會有收到一堆廣告訊息更新的經驗吧。

利用自訂 Brief 外觀的功能，也可以把這些廣告的字體顏色改淡，這樣就比較不會跟主要內容搞混了。

下面是一些贊助商廣告會出現的標題關鍵字，不過「Theme」那是我拿來過濾 Firefox Add-ons 用的，所以當個參考就好。（另外我並不確定填中文有沒有用）

div[content*="Theme "] * ,
div[content*=" theme "] * ,
div[entrytitle*="PR: "] * ,
div[entrytitle*="AD: "] * {
  color: #ccc !important
  }

其它

請參考 Brief 官網的教學文章，或是 MozTW Wiki 中收錄的 Stylish 資源，裡面都會有一些 CSS 教學文件。

還有 Brief 官網也有提供預設的樣式表，想動手大改一番的話，可以從官網下載回來慢慢看。（當然同樣的一份樣式表也有放在你的設定檔資料夾中）

還是有問題的話，請在這篇文章底下留個言吧。