Bezhlavý Jazdec│[SUPERPARBA.EU]
Poté, co je společnost Adobe Systems požádala, aby mlčeli o svých zjištěních, dva výzkumní pracovníci v oblasti bezpečnosti vyndali z technického rozhovoru, kde se chystá ukázat, jak mohou ovládnout prohlížeč oběti pomocí online útoku nazvaného "clickjacking. "
Robert Hansen a Jeremiah Grossman byli nastaveni, aby se příští týden dostavili na konferenci OWASP (Open Web Security Security Project) v New Yorku. Ale doklad o koncepčním kódu, který vyvinuli, aby ukázal, jak jejich útok na kliknutí odhalil chybu v jednom z produktů společnosti Adobe. Po týdnu rozhovorů s Adobe se výzkumníci rozhodli minulý pátek, aby se vypořádali.
I když se Hansen a Grossman domnívají, že chyba kliknutí nakonec spočívá v tom, jak jsou navrženy internetové prohlížeče, Adobe je přesvědčil, dokud nemohou uvolnit náplast. "Adobe se domnívá, že mohou udělat něco, čím by se zhoršilo," uvedl Grossman, ředitel CTO s White Hat Security, v rozhovoru.
Útočník v útoku kliknutí obtěžuje oběti klepnutím na škodlivé webové odkazy, aniž by si to uvědomoval. Tento typ útoku je známý již řadu let, ale nebyl považován za zvlášť nebezpečný. Bezpečnostní experti si mysleli, že by to mohlo být použito ke spáchání podvodu na reklamní kliknutí nebo k nafouknutí hodnocení Digg pro webovou stránku, například.
Hansen a Grossman však v písemné podobě dokázali, že kliknutí je vlastně více vážně, než si mysleli.
"Když jsme je nakonec postavili a získali doklad o konceptu, bylo to docela nepříjemné," řekl Grossman. "Pokud říkám, na co kliknete, kolik můžu udělat špatně? Ukázalo se, že můžete udělat spoustu skutečně špatných věcí."
Ani Grossman, ani Hansen, generální ředitel poradenských společností SecTheory, se nechtěli dostat do specifik jejich útoku. Nicméně Tom Brennan, organizátor konference OWASP, uvedl, že viděl, že kód útoku byl demonstrován a že dovoluje útočníkovi, aby plně ovládal pracovní plochu oběti.
Vědci tvrdí, že Adobe nebyl pod tlakem,. "Není to zlo, ten člověk se snaží udržet nás v situaci hackerů," napsal Hansen v pondělí na svém blogu.
Pozdní pondělí Adobe zveřejnil poznámku a poděkoval vědcům za to, že chyba byla soukromá, a naznačují, že společnost pracuje na náprave problému
I když zveřejnění chyby může pomoci útočníkům, Brennanová organizace OWASP uvedla, že výzkumní pracovníci by měli pokračovat v rozhovorech a dát jim příležitost porozumět skutečné povaze hrozby. "V prohlížečích je problém s nulovými dny, který dnes postihuje miliony lidí," řekl. "Když se o tom člověk zabývá, položí všechny na stejném hřišti."
Hansen a Grossman říkají, že také očekávají, že společnost Microsoft opraví chybu v aplikaci Internet Explorer a že mnoho dalších prohlížečů je také ovlivněno problémem s kliknutím. "Věříme, že to je víceméně bezpečnostní problém prohlížeče," řekl Grossman
Palmová žádost o App Store Poradenství otevírá Floodgate
Palm překvapilo odpověď na příspěvek v blogu, který požadoval vstupní informace o tom, .
Microsoft stáhne žádost o antitrustové jednání EU
Pokud společnost Microsoft skutečně zneužila své postavení na trhu, bylo zřejmé, že úsilí společnosti bylo neúspěšné. Společnost Microsoft vzala zpět svou žádost o ústní jednání s cílem reagovat na evropské antitrustové poplatky vyplývající ze sdružování internetového prohlížeče Internet Explorer s jeho operačním systémem Windows. Pokud společnost Microsoft skutečně zneužila své postavení na trhu, bylo zřejmé, že úsilí společnosti bylo neúspěšné: Firefox nyní vede IE 7.0 v evropském podíl na trh
Facebook Odpovědi na žádost německého regulátora ochrany soukromí
UPDATE: Facebook čelí pokutě od německého soukromého regulátora za to, že nezískal souhlas lidí, podrobnosti, které ukládá.