Adobe Fixes 'clickjacking' Chyba

Nový software Flash Player 10, který byl vydán ve středu, opravuje bezpečnostní nedostatky v multimediálním softwaru společnosti Adobe, včetně chyb, které by mohly umožnit hackerům který je známý jako útok typu clickjacking, napsal mluvčí společnosti Adobe David Lenoe v blogu.

Pro ty, kteří nemohou aktualizovat tuto novou verzi Flash, bezpečnostní patch Flash 9 je stále o měsíc mimo, dodal. Adobe vyhodnocuje chybu kliknutí jako "kritickou".

Ačkoli nebyl široce využíván zločinci, dostalo se Clickjacking hodně pozornosti, protože bylo poprvé diskutováno za měsíc před. Flash není jediným softwarem, který je zranitelný útokem clickjackingu, ale bleskové útoky byly považovány za nejnebezpečnější.

Bezpečnostní výzkumníci, kteří objevili problém, Robert Hansen a Jeremiah Grossman, měli v úmyslu plně diskutovat o kliknutí na 24. září v konferenci o bezpečnosti. Ale oni se odvrátili a vydali zřetelnou verzi své řeči, když Adobe požádal o více času na opravu svého softwaru.

Minulý týden však bezpečnostní badatel Guy Aharonovsky ukázal, jak by fungoval útok Adobe Flash Clickjacking. informace, které jsou nyní otevřené, Hansen a Grossman šli veřejně se svými zjištěními.

Při útoku na kliknutí hacker používá řadu technik, aby převzali kontrolu nad tím, na jaké odkazy má oběť skutečně kliknutí. V jednom útoku by například útočník nejprve musel obětovat oběti, aby navštívili škodlivou webovou stránku a poté klikli na to, co se zdálo být pravidelným webovým odkazem. Ve skutečnosti by oběť klikala na něco úplně jiného, ​​jako je například objekt Flash, který zapnul mikrofon. "Je téměř nemožné, aby uživatel zjistil, co se stane, když kliknou na odkaz," řekl Hansen, který je generálním ředitelem společnosti SecTheory.org, v rozhovoru, který proběhl minulý týden.

Clickjacker mohl odposlouchávat počítače obětí, aby mohli provádět on-line burzovní obchody, smazat blogy, změnit směrovač nebo konfiguraci firewallu, vytvořit nové účty Web mail nebo dokonce donutit je stáhnout software, řekl Hansen.

Protože clickjacking ovlivňuje jiné pluginy prohlížeče, nejlepší způsob, jak to opravit problém clickjackingu může změnit způsob fungování prohlížečů, řekl Hansen. "Výrobci prohlížečů tento problém chápou a snaží se najít způsoby, jak je zmírnit," řekl.