[font='Segoe UI', Tahoma, Arial]国内安全问题反馈平台wooyun(乌云)昨日发布公告称,国外知名播放器JWPlayer被发现代码编写存在安全问题,将导致大量使用该Flash播放器的网站存在xss跨站脚本攻击风险,目前厂商已经主动忽略漏洞。JWPlayer是一种基于flash的交互式网页媒体播放器。它是由Jeroen 和 Wijering共同建立的LongTail Video所开发,问世于2005年。可用于播放Adobe Flash Player所支持的媒体,包括:FLV、MP4、MP3、AAC、JPG、PNG和GIF等,还支持RTMP、HTTP、实时视频流、各种播放清单格式、灵活的设置和广泛的javascript API,因此备受网站开发者青睐。据了解,目前已有超过百万的网站在使用该播放器。
乌云安全平台称,该FLASH版本视频播放器代码编写上存在一处安全问题,可以进行跨站攻击,危险系数很高。由于目前厂商已经主动忽略漏洞,乌云安全平台建议相关网站限制“debug”参数的长度,并检查其相关内容。
漏洞证明:
利用漏洞获取国内电子商务网站Cookies
美国白宫主站同样存在风险
据乌云安全平台用户反馈,目前国内众多视频网站、小游戏网站以及许多知名网站都在使用JWPlayer播放器,包括凤凰网、久游网、华为官网、京东商城、诺基亚博客、百合网、走秀网、中国网络电视台、猫扑 、新浪、百度、去哪儿等网站,漏洞可能直接影响用户帐户的泄漏或触发大规模蠕虫。乌云安全平台用户发现众多国内知名网站在使用JWPlayer播放器
