Komponenter

Adobe Fixes 'clickjacking' Feil

Discord account takeover via clickjacking prompt PoC'"

Discord account takeover via clickjacking prompt PoC'"
Anonim

Adobe Systems har gitt ut en ny versjon av sin Flash Player-programvare, fastsetter en kritisk sikkerhetsfeil som kan gjøre Internett til et farlig sted for web surfere.

Den nye Flash Player 10-programvaren, utgitt onsdag, løser sikkerhetsfeil i Adobes multimedieprogramvare, inkludert feil som kan tillate hackere å trekke av det som er kjent som et clickjacking-angrep, skrev Adobe-talsmannen David Lenoe i en blogginnlegg.

For de som ikke kan oppdatere til denne nye versjonen av Flash, er en Flash 9-sikkerhetsoppdatering fortsatt om en måned, tilføyet han. Adobe vurderer clickjacking-feilen som "kritisk".

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Selv om det ikke er mye brukt av kriminelle, har clickjacking fått mye oppmerksomhet siden det ble diskutert først en måned siden. Flash er ikke den eneste programvaren som er sårbar for et clickjacking-angrep, men Flash-angrep har blitt vurdert blant de farligste.

Sikkerhetsforskerne som oppdaget problemet, Robert Hansen og Jeremiah Grossman, hadde tenkt å fullt ut diskutere clickjacking på en 24 september konferanse for konferanse konferanser. Men de støttet seg og ga en slank ned versjon av deres snakk da Adobe spurte om mer tid til å lappe programvaren.

Sikkerhetsforsker Guy Aharonovsky viste imidlertid i forrige uke hvordan et Adobe Flash clickjacking-angrep ville fungere, og med Informasjon nå ut i det åpne, ble Hansen og Grossman offentlig med sine funn.

I et clickjacking-angrep bruker hackere brukerne en rekke teknikker for å ta kontroll over hvilke lenker offeret faktisk klikker. I ett angrep, for eksempel, ville angriperen først måtte lure offeret til å besøke en ondsinnet nettside, og deretter klikke på hva som syntes å være en vanlig weblink. I virkeligheten ville offeret klikke på noe helt annet, for eksempel et Flash-objekt som slår på mikrofonen. "Det er nesten umulig for en bruker å bestemme hva som skal skje når de klikker på en kobling," sa Hansen, som er administrerende direktør i SecTheory.org, i et intervju i forrige uke.

En clickjacker kan ødelegge ofre PCer, tvinge dem å utføre online aksjehandel, slette blogsider, endre en ruter eller brannmurkonfigurasjon, opprett nye webpostkontoer, eller til og med tvinge dem til å laste ned programvare, sa Hansen.

Fordi clickjacking påvirker andre nettleserplugger, er den beste måten å fikse clickjacking problemet kan være å endre måten nettlesere jobber, sa Hansen. "Browser beslutningstakere forstår problemet, og de prøver å finne måter å redusere det," sa han.