Kindle漏洞無人修復(fù) 亞馬遜帳戶存風(fēng)險(xiǎn)
責(zé)編:admin |2014-09-17 10:03:589月17日消息,據(jù)國外媒體報(bào)道,研究人員發(fā)現(xiàn),亞馬遜的電子書圖書館Kindle Library存在一個(gè)安全漏洞,可能導(dǎo)致用戶的亞馬遜賬戶處于危險(xiǎn)狀態(tài)。德國研究人員本杰明·穆斯勒(Benjamin Mussler)在其博客上展示了有關(guān)該安全漏洞存在的證據(jù)。在此之前,穆斯勒稱亞馬遜曾修復(fù)了該漏洞,但后來又重新引入該漏洞。
穆斯勒表示,當(dāng)他第二次向亞馬遜報(bào)告發(fā)現(xiàn)這個(gè)漏洞,亞馬遜沒有做出回應(yīng),這促使他公開披露這一漏洞。
該漏洞被稱為“跨站點(diǎn)腳本攻擊(XSS)”,可以包含在Kindle電子書的元數(shù)據(jù)中,如標(biāo)題等,一旦受害者打開他們亞馬遜網(wǎng)站上Kindle Library的網(wǎng)頁時(shí),就可以自動(dòng)執(zhí)行。
穆斯勒稱:“這樣一來,受害者亞馬遜賬戶的Cookie就可以被訪問并傳輸?shù)焦粽叩碾娔X上,受害者的亞馬遜賬戶可能因此會(huì)受到影響。”
他表示,任何人只要利用亞馬遜的Kindle Library存儲(chǔ)電子書或?qū)㈦娮訒l(fā)送至Kindle設(shè)備,都可能受到這一漏洞的影響。
穆斯勒警告稱,那些從不可靠渠道獲得的電子書,如盜版暢銷書,要比從亞馬遜網(wǎng)站上購買到的電子書存在更大風(fēng)險(xiǎn)。
這位研究人員表示,他于2013年11月首次向亞馬遜報(bào)告了該漏洞,亞馬遜在較短時(shí)間內(nèi)將此修復(fù)。但在亞馬遜推出新版“Manage Your Kindle(管理你的Kindle設(shè)備)”網(wǎng)絡(luò)應(yīng)用后,這個(gè)漏洞被重新引入。
他說:“在我就這一問題再次向亞馬遜發(fā)出電子郵件后,該公司選擇了不回應(yīng)。兩個(gè)月后,該漏洞依然沒有得到修復(fù)。”
亞馬遜拒絕對此報(bào)道發(fā)表評論。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!