该漏洞影响透明代理(transparent interception mode)模式,一种无需用户干预和浏览器特别设置的代理模式。黑客可以通过利用 Java ,Flash 等活动内容篡改主机头,来利用该漏洞。"要成功利用该漏洞,攻击者需要诱使用户访问含有有害活动内容的网站,或将有害的活动内容上传至可信的站点。"安全 建议中写道。
该漏洞由 paypal 信息风险管理团队的 Robert Auger 发现,在 Cgisecurity.com 的说明中,他表示将在三月给出技术分析的详情,大概会到等到相关的补救措施出现后。在Cert 极为精简的分析中,似乎可以看出该 Bug 也可以通过钓鱼方式影响到终端用户。
另一方面,好消息是该漏洞似乎仅影响透明代理。设置上严格控制跨站 cookie 和其他活动内容访问的浏览器会使攻击者很难重(chong)用用户的验证数据,进行非法访问。此外,InGuardians 的一位安全分析员 Kevin Johnson 表示很少有大公司受其影响,相关的设置一般被用做反向代理进行流量平衡,内容缓冲以及其他网络管理服务。
另一方面,好消息是该漏洞似乎仅影响透明代理。设置上严格控制跨站 cookie 和其他活动内容访问的浏览器会使攻击者很难重(chong)用用户的验证数据,进行非法访问。此外,InGuardians 的一位安全分析员 Kevin Johnson 表示很少有大公司受其影响,相关的设置一般被用做反向代理进行流量平衡,内容缓冲以及其他网络管理服务。