国内安全问题反馈平台wooyun(乌云)昨日发布公告称，国外知名播放器JWPlayer被发现代码编写存在安全问题，将导致大量使用该Flash播放器的网站存在xss跨站脚本攻击风险，目前厂商已经主动忽略漏洞。

　　JWPlayer是一种基于flash的交互式网页媒体播放器。它是由Jeroen和Wijering共同建立的LongTail Video所开发，问世于2005年，官方网址：www.longtailvideo.com/。可用于播放Adobe Flash Player所支持的媒体，包括：FLV、MP4、MP3、AAC、JPG、PNG和GIF等，还支持RTMP、HTTP、实时视频流、各种播放清单格式、灵活的设置和广泛的javascript API，因此备受网站开发者青睐。据了解，目前已有超过百万的网站在使用该播放器。

　　乌云安全平台称，该FLASH版本视频播放器代码编写上存在一处安全问题，可以进行跨站攻击，危险系数很高。由于目前厂商已经主动忽略漏洞，乌云安全平台建议相关网站限制“debug”参数的长度，并检查其相关内容。

　　漏洞证明：

　　利用漏洞获取国内电子商务网站Cookies

　　美国白宫主站同样存在风险

　　据乌云安全平台用户反馈，目前国内众多视频网站、小游戏网站以及许多知名网站都在使用JWPlayer播放器，包括凤凰网、久游网、华为官网、京东商城、诺基亚博客、百合网、走秀网、中国网络电视台、猫扑、新浪、百度、去哪儿等网站，漏洞可能直接影响用户帐户的泄漏或触发大规模蠕虫。

　　乌云安全平台用户发现众多国内知名网站在使用JWPlayer播放器

(责任编辑：)