Adobe再曝Flash重要漏洞 可偷控?cái)z像頭

10 月20 日上午，Adobe 正在修復(fù)一個(gè)與Flash 相關(guān)的漏洞，該漏洞可被用來秘密打開訪問者的麥克風(fēng)和攝像頭。

“問題出在Adobe 服務(wù)器上的Flash Player 設(shè)置管理器中，”Adobe 發(fā)言人Wiebke Lips 說。 “工程師們正在加緊修復(fù)錯誤，”利普斯在一封電子郵件中說。 “請注意，這個(gè)bug不涉及也不需要產(chǎn)品更新，可以在服務(wù)器端在線修復(fù)，待QA工作完成后第一時(shí)間發(fā)布?！?

該漏洞預(yù)計(jì)將在本周末修復(fù)。

該漏洞由斯坦福大學(xué)計(jì)算機(jī)科學(xué)專業(yè)的學(xué)生Aboukhadiieh 發(fā)現(xiàn)，并于昨天在博客文章中公布，其中包括一段視頻剪輯。該攻擊使用一種名為“clickjacking”的點(diǎn)擊劫持方法，將Flash設(shè)置管理器SWF文件隱藏在頁面的iFrame后面，從而可以繞過framebusting JS代碼。 （北京網(wǎng)出品）

漏洞攻擊出現(xiàn)于2008年附來自Znet的早期報(bào)道：

安全專家近日警告稱，一個(gè)新發(fā)現(xiàn)的跨瀏覽器攻擊漏洞將帶來嚴(yán)重的安全問題，該漏洞影響所有主要桌面平臺，包括，IE、Firefox、Safari、Opera 和Adobe Flash。這種被稱為點(diǎn)擊劫持的安全威脅本應(yīng)在OWASP NYC AppSec 2008 會議上公布，但包括Adobe 在內(nèi)的供應(yīng)商要求在開發(fā)安全補(bǔ)丁之前不要披露該漏洞。

該漏洞由兩位安全研究專家Robert Hansen 和Jeremiah Grossman 發(fā)現(xiàn)，他們提供了一些信息以顯示安全威脅的嚴(yán)重性。Clickjacking到底是什么東西？

兩位研究專家表示，他們發(fā)現(xiàn)的問題不小。事實(shí)上，這是嚴(yán)重的。但日期未定。我們目前只和有限的廠家討論這個(gè)問題，所以問題很嚴(yán)重。

據(jù)參加OWASP 半公開演講的人士表示，該漏洞很緊急，影響所有瀏覽器，與JavaScript 無關(guān)：

一般來說，當(dāng)你訪問一個(gè)惡意網(wǎng)站時(shí)，攻擊者可以控制你的瀏覽器對某些鏈接的訪問。這個(gè)漏洞影響幾乎所有的瀏覽器，除非你使用像lynx這樣的字符瀏覽器。該漏洞與JavaScript無關(guān)，即使關(guān)閉瀏覽器的JavaScript功能也無濟(jì)于事。事實(shí)上，這是瀏覽器工作方式的缺陷，無法通過簡單的補(bǔ)丁修復(fù)。惡意網(wǎng)站可以讓您在您不知情的情況下點(diǎn)擊網(wǎng)站上的任何鏈接、任何按鈕或任何內(nèi)容。

如果這沒有嚇到您，請考慮這樣一種情況，用戶在受到攻擊時(shí)會毫無察覺且無助：

比如在Ebay，因?yàn)榭梢郧度隞avaScript，雖然攻擊不需要JavaScript，但是可以讓攻擊變得更容易。只用lynx字符瀏覽器保護(hù)自己，不要什么動態(tài)的。該漏洞使用DHTML，使用反框架代碼可以保護(hù)您免受跨站攻擊，但攻擊者仍然可以強(qiáng)制您點(diǎn)擊任何鏈接。您所做的任何點(diǎn)擊都會指向惡意鏈接，因此那些Flash 游戲?qū)⑹桩?dāng)其沖。據(jù)漢森介紹，他們已經(jīng)與微軟和Mozilla 談過這個(gè)問題，但他們都表示這是一個(gè)非常困難的問題，沒有簡單的解決方案。

標(biāo)簽: 北京網(wǎng)站制作高端網(wǎng)站建設(shè)

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn)，每一個(gè)項(xiàng)目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！