多個高危新型Web漏洞現身主流社交網站

新華網天津4月2日電（記者張建新）國家計算機網絡入侵防范中心近日在國內外多家主流社交網站及應用中發現了多個Web新型漏洞。對漏洞的分析表明，社交網站的安全隱私問題將不再局限于其自身，而已經擴展到了大量第三方應用。社交網絡開始面臨新的攻擊威脅。

國家計算機網絡入侵防范中心常務副主任張玉清領導的課題組首先發現了這種最新漏洞，均為JavaScript腳本執行漏洞。這種新型Web漏洞類似于傳統的跨站腳本（XSS）漏洞，不同之處在于這種漏洞的利用都是基于Web API進行的。因此，課題組形象地將這種新型Web漏洞命名為“跨API腳本（Cross－API Scripting，簡稱XAS）漏洞”。

張玉清說，由不安全API導致的XAS漏洞存在于大量主流社交網站及應用中，包括人人網、騰訊微博、新浪輕博客、搜狐微博、非死book iGoogle Gadget、Tumblr輕博客、社交聚合應用Hootsuite等等。

這種新型XAS安全漏洞大多屬于高危Web漏洞，可以被利用進行蠕蟲攻擊、釣魚攻擊、竊取用戶隱私等，嚴重威脅到社交網絡及其用戶的安全和隱私。

目前，這些社交網站尚未發布相應的解決方案和更新補丁。國家計算機網絡入侵防范中心將與相關社交網站配合，共同修復這種新型Web高危漏洞，同時建議廣大用戶做好安全防護，增強使用社交網絡的安全意識，防止黑客攻擊。