預(yù)計該漏洞會在本周末被修復(fù)完畢���。
該漏洞是由斯坦福大學計算機系的學生 Aboukhadiieh 發(fā)現(xiàn),并在昨天的博客中公布����,且包含一段視頻片段�。該攻擊使用一種叫“clickjacking”的點擊劫持方式�����,隱藏 Flash 設(shè)置管理器 SWF 文件在頁面 iFrame 的后面�,這樣可以繞過 framebusting JS 代碼。
該漏洞攻擊曾在2008年出現(xiàn)過���。附來自 Znet 的早期報道:
安全專家們最近發(fā)出警告��,一個最新發(fā)現(xiàn)的跨瀏覽器攻擊漏洞將帶來非?��?膳碌陌踩珕栴},該漏洞影響所有主流桌面平臺��,包括�����,IE, Firefox����, Safari, Opera 以及 Adobe Flash。這個被稱為 Clickjacking 的安全威脅�����,原本要在 OWASP NYC AppSec 2008 大會上公布,但包括 Adobe 在內(nèi)的廠商請求暫時不要公開這個漏洞���,直到他們開發(fā)出安全補丁����。
發(fā)現(xiàn)這個漏洞的是兩個安全研究專家�,Robert Hansen 與 Jeremiah Grossman,他們已經(jīng)略透露了一點相關(guān)信息以顯示該安全威脅的嚴重性���。
Clickjacking 到底是什么東西?
兩為研究專家說���,他們所發(fā)現(xiàn)的絕非小問題�����,事實上�,很嚴重,他們在透露這些信息之前需要負起責任�,這些問題一環(huán)套一環(huán),至少已經(jīng)有兩家廠商表示會提供補丁��,但日期未定,我們目前只和有限的幾個廠家探討這個問題���,所以�����,問題很嚴重���。
根據(jù)那些在 OWASP 參加過半公開性演示的人透露,這個漏洞非常緊急��,將影響到所有瀏覽器����,而且它和 JavaScript 并沒有關(guān)系:
總的來說,當你訪問一個惡意網(wǎng)站的時候�,攻擊者可以控制你的瀏覽器對一些鏈接的訪問,這個漏洞影響到幾乎所有瀏覽器�,除非你使用 lynx 一類的字符瀏覽器。這個漏洞與 JavaScript 無關(guān)����,即使你關(guān)閉瀏覽器的 JavaScript 功能也無能為力。事實上這是瀏覽器工作原理中的一個缺陷��,無法通過簡單的補丁解決。一個惡意網(wǎng)站能讓你在毫不知情的情況下點擊任意鏈接����,任意按紐或網(wǎng)站上任意東西。
如果這還不能讓你恐慌的話�,想想這樣的情形,一個用戶在被攻擊的時候?qū)⒑敛恢槎沂譄o策:
比如在 Ebay�,因為可以嵌入 JavaScript,雖然攻擊并不需要 JavaScript����,但可以讓攻擊更容易進行。只用 lynx 字符瀏覽器才能保護你自己�����,同時不要任何動態(tài)的東西�。該漏洞用到 DHTML����,使用防 frame 代碼可以保護你不受跨站點攻擊,但攻擊者仍可以強迫你點擊任何鏈接�。你所做的任何點擊都被引導(dǎo)到惡意鏈接上,所以����,那些 Flash 游戲?qū)⑹桩斊錄_��。
據(jù) Hansen 講���,他們已經(jīng)同微軟以及 Mozilla 談?wù)撨^這個問題,然而他們均表示這是個非常棘手的問題���,目前沒有簡單的解決辦法����。
果.jpg)