預(yù)計(jì)該漏洞會(huì)在本周末被修復(fù)完畢����。
該漏洞是由斯坦福大學(xué)計(jì)算機(jī)系的學(xué)生 Aboukhadiieh 發(fā)現(xiàn)����,并在昨天的博客中公布����,且包含一段視頻片段���。該攻擊使用一種叫“clickjacking”的點(diǎn)擊劫持方式,隱藏 Flash 設(shè)置管理器 SWF 文件在頁(yè)面 iFrame 的后面��,這樣可以繞過(guò) framebusting JS 代碼����。
該漏洞攻擊曾在2008年出現(xiàn)過(guò)��。附來(lái)自 Znet 的早期報(bào)道:
安全專家們最近發(fā)出警告�����,一個(gè)最新發(fā)現(xiàn)的跨瀏覽器攻擊漏洞將帶來(lái)非?����?膳碌陌踩珕?wèn)題�,該漏洞影響所有主流桌面平臺(tái)����,包括�����,IE, Firefox����, Safari, Opera 以及 Adobe Flash����。這個(gè)被稱為 Clickjacking 的安全威脅,原本要在 OWASP NYC AppSec 2008 大會(huì)上公布����,但包括 Adobe 在內(nèi)的廠商請(qǐng)求暫時(shí)不要公開(kāi)這個(gè)漏洞��,直到他們開(kāi)發(fā)出安全補(bǔ)丁。
發(fā)現(xiàn)這個(gè)漏洞的是兩個(gè)安全研究專家�,Robert Hansen 與 Jeremiah Grossman�����,他們已經(jīng)略透露了一點(diǎn)相關(guān)信息以顯示該安全威脅的嚴(yán)重性。
Clickjacking 到底是什么東西?
兩為研究專家說(shuō)�,他們所發(fā)現(xiàn)的絕非小問(wèn)題�,事實(shí)上,很嚴(yán)重����,他們?cè)谕嘎哆@些信息之前需要負(fù)起責(zé)任,這些問(wèn)題一環(huán)套一環(huán)���,至少已經(jīng)有兩家廠商表示會(huì)提供補(bǔ)丁�����,但日期未定�����,我們目前只和有限的幾個(gè)廠家探討這個(gè)問(wèn)題����,所以���,問(wèn)題很嚴(yán)重��。
根據(jù)那些在 OWASP 參加過(guò)半公開(kāi)性演示的人透露�,這個(gè)漏洞非常緊急����,將影響到所有瀏覽器,而且它和 JavaScript 并沒(méi)有關(guān)系:
總的來(lái)說(shuō)�,當(dāng)你訪問(wèn)一個(gè)惡意網(wǎng)站的時(shí)候,攻擊者可以控制你的瀏覽器對(duì)一些鏈接的訪問(wèn)����,這個(gè)漏洞影響到幾乎所有瀏覽器,除非你使用 lynx 一類的字符瀏覽器����。這個(gè)漏洞與 JavaScript 無(wú)關(guān)�,即使你關(guān)閉瀏覽器的 JavaScript 功能也無(wú)能為力�����。事實(shí)上這是瀏覽器工作原理中的一個(gè)缺陷�����,無(wú)法通過(guò)簡(jiǎn)單的補(bǔ)丁解決���。一個(gè)惡意網(wǎng)站能讓你在毫不知情的情況下點(diǎn)擊任意鏈接,任意按紐或網(wǎng)站上任意東西。
如果這還不能讓你恐慌的話�,想想這樣的情形���,一個(gè)用戶在被攻擊的時(shí)候?qū)⒑敛恢槎沂譄o(wú)策:
比如在 Ebay����,因?yàn)榭梢郧度?JavaScript,雖然攻擊并不需要 JavaScript���,但可以讓攻擊更容易進(jìn)行�����。只用 lynx 字符瀏覽器才能保護(hù)你自己�����,同時(shí)不要任何動(dòng)態(tài)的東西��。該漏洞用到 DHTML����,使用防 frame 代碼可以保護(hù)你不受跨站點(diǎn)攻擊���,但攻擊者仍可以強(qiáng)迫你點(diǎn)擊任何鏈接。你所做的任何點(diǎn)擊都被引導(dǎo)到惡意鏈接上�,所以���,那些 Flash 游戲?qū)⑹桩?dāng)其沖�。
據(jù) Hansen 講�,他們已經(jīng)同微軟以及 Mozilla 談?wù)撨^(guò)這個(gè)問(wèn)題,然而他們均表示這是個(gè)非常棘手的問(wèn)題�,目前沒(méi)有簡(jiǎn)單的解決辦法�。
果.jpg)