Kindle漏洞无人修复 亚马逊帐户存风险_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > Kindle漏洞无人修复 亚马逊帐户存风险

Kindle漏洞无人修复 亚马逊帐户存风险

 2014/9/17 12:22:23    程序员俱乐部  我要评论(0)
  • 摘要:9月17日消息,研究人员发现,亚马逊的电子书图书馆KindleLibrary存在一个安全漏洞,可能导致用户的亚马逊账户处于危险状态。德国研究人员本杰明·穆斯勒(BenjaminMussler)在其博客上展示了有关该安全漏洞存在的证据。在此之前,穆斯勒称亚马逊曾修复了该漏洞,但后来又重新引入该漏洞。穆斯勒表示,当他第二次向亚马逊报告发现这个漏洞,亚马逊没有做出回应,这促使他公开披露这一漏洞。该漏洞被称为“跨站点脚本攻击(XSS)”
  • 标签:风险 亚马逊 修复 漏洞 Kindle

<a href=Kindle 漏洞无人修复亚马逊帐户存风险" />

   9 月 17 日消息,研究人员发现,亚马逊的电子书图书馆 KindleLibrary 存在一个安全漏洞,可能导致用户的亚马逊账户处于危险状态。

  德国研究人员本杰明·穆斯勒(Benjamin Mussler)在其博客上展示了有关该安全漏洞存在的证据。在此之前,穆斯勒称亚马逊曾修复了该漏洞,但后来又重新引入该漏洞。穆斯勒表示,当他第二次向亚马逊报告发现这个漏洞,亚马逊没有做出回应,这促使他公开披露这一漏洞。

  该漏洞被称为“跨站点脚本攻击(XSS)”,可以包含在 Kindle 电子书的元数据中,如标题等,一旦受害者打开他们亚马逊网站上 Kindle Library 的网页时,就可以自动执行。

  穆斯勒称:“这样一来,受害者亚马逊账户的 Cookie 就可以被访问并传输到攻击者的电脑上,受害者的亚马逊账户可能因此会受到影响。”

  他表示,任何人只要利用亚马逊的 Kindle Library 存储电子书或将电子书发送至 Kindle 设备,都可能受到这一漏洞的影响。

  穆斯勒警告称,那些从不可靠渠道获得的电子书,如盗版畅销书,要比从亚马逊网站上购买到的电子书存在更大风险。

  这位研究人员表示,他于 2013 年 11 月首次向亚马逊报告了该漏洞,亚马逊在较短时间内将此修复。但在亚马逊推出新版“Manage Your Kindle(管理你的 Kindle 设备)”网络应用后,这个漏洞被重新引入。

  他说:“在我就这一问题再次向亚马逊发出电子邮件后,该公司选择了不回应。两个月后,该漏洞依然没有得到修复。”

  亚马逊拒绝对此报道发表评论。

发表评论
用户名: 匿名