專家警告「點閱綁架」漏洞讓瀏覽器無一倖免

plus724254

clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份，但那可能是來自其他網頁的內容。

兩名資安研究人員在本周揭露了新的「點閱綁架」（clickjacking）漏洞，該漏洞類似跨站假要求（cross-site request forgery，csrf），不過目前卻沒有任何防制clickjacking的有效方法，而且包括ie、firefox、safari、opera及 chrome等主要瀏器覽器無一可倖免於難。

發現此一嚴重漏洞的是whitehat security技術長jeremiah grossman及sectheory執行長robert hansen，他們原本要在上周舉行的owasp appsec 2008會議上討論此一漏洞，不過在相關業者的要求下延後公布漏洞細節。另一方面，美國電腦緊急應變小組（us-cert）也對此發佈了警告。

clickjacking讓駭客能夠誘導使用者點擊網頁上根本不引人注意的部份，但那可能是來自其他網頁的內容。

grossman在部落格中表示，javascript惡意程式在使用者連到駭客掌控的網頁時，能夠竊取使用者的歷史資料、入侵企業網路、執行網路釣魚，以及植入蠕蟲等。而透過 clickjacking攻擊可做的事更多，根據他們所完成的概念性驗證程式以及與各界溝通後，他們相信，所發現的與一般網路瀏覽器行為較為有關，而非傳統的攻擊程式。

grossman及hansen已與微軟、mozilla、蘋果及adobe討論此一漏洞，adobe名列其中是因為有一概念性驗證程式是透過adobe的產品進行攻擊。

grossman指出，很難要求所有的網站更新以防範該漏洞，最好是由瀏覽器業者負責更新，包括最新版的ie8及firefox 3皆受到該漏洞波及，而且目前所有瀏覽器皆未提供修補，現階段唯一可抵制該漏洞的方法是關閉瀏覽器的scripting及外掛程式功能。

關於此一漏洞更多的細節可望在adobe發表更新程式之後揭露。

新聞來源: ithome

好玩邦推∼

人外有人　天外有天　！

homeric

關閉瀏覽器的scripting及外掛程式功能。使用者一定不方便.