國內(nèi)安全問題反饋平臺(tái)wooyun(烏云)昨日發(fā)布公告稱，國外知名播放器JWPlayer被發(fā)現(xiàn)代碼編寫存在安全問題，將導(dǎo)致大量使用該Flash播放器的網(wǎng)站存在xss跨站腳本攻擊風(fēng)險(xiǎn)，目前廠商已經(jīng)主動(dòng)忽略漏洞。

JWPlayer是一種基于flash的交互式網(wǎng)頁媒體播放器。它是由Jeroen 和 Wijering共同建立的LongTail Video所開發(fā)，問世于2005年，官方網(wǎng)址：http://www.longtailvideo.com/?？捎糜诓シ臕dobe Flash Player所支持的媒體，包括：FLV、MP4、MP3、AAC、JPG、PNG和GIF等，還支持RTMP、HTTP、實(shí)時(shí)視頻流、各種播放清單格式、靈活的設(shè)置和廣泛的javascript API，因此備受網(wǎng)站開發(fā)者青睞。據(jù)了解，目前已有超過百萬的網(wǎng)站在使用該播放器。

烏云安全平臺(tái)稱，該FLASH版本視頻播放器代碼編寫上存在一處安全問題，可以進(jìn)行跨站攻擊，危險(xiǎn)系數(shù)很高。由于目前廠商已經(jīng)主動(dòng)忽略漏洞，烏云安全平臺(tái)建議相關(guān)網(wǎng)站限制“debug”參數(shù)的長(zhǎng)度，并檢查其相關(guān)內(nèi)容。

據(jù)烏云安全平臺(tái)用戶反饋，目前國內(nèi)眾多視頻網(wǎng)站、小游戲網(wǎng)站以及許多知名網(wǎng)站都在使用JWPlayer播放器，包括鳳凰網(wǎng)、久游網(wǎng)、華為官網(wǎng)、京東商城、諾基亞博客、百合網(wǎng)、走秀網(wǎng)、中國網(wǎng)絡(luò)電視臺(tái)、貓撲 、新浪、百度、去哪兒等網(wǎng)站，漏洞可能直接影響用戶帳戶的泄漏或觸發(fā)大規(guī)模蠕蟲。