Komponenter

Sikkerhetsproblemet i Clickjacking skal avsløres neste måned

Solving Clickjacking - HTTP 203

Solving Clickjacking - HTTP 203
Anonim

Etter at hyllene har planer om å detaljere et nettleser-clickjacking-sårbarhet som er indirekte relatert til Adobe Systems produkter på selskapets forespørsel tidligere i måneden, planlegger en sikkerhetsforsker å detaljere feilen neste måned.

Jeremiah Grossman, sjefsteknologi ved White Hat Security, vil diskutere sårbarheten på Hack In The Box (HITB) konferansen i Kuala Lumpur, Malaysia. "Vi har ingen ETA på Adobe-reparasjoner, men vi håper at det kommer til å være uker og ikke måneder. Uansett om de" lapper ", vil det ikke endre innholdet i min hovedtal," skrev han i en e- post.

Grossman var planlagt å detaljere clickjacking feilen med Robert Hansen, administrerende direktør i SecTheory, på Open Web Application Security Project konferansen i New York, men de trakk presentasjonen på Adobes forespørsel. Hackerne sa at det ikke var presset på dem, men Adobe ønsket tid til å studere og ta opp sårbarheten før den ble offentliggjort. "Dette er ikke noe vondt" mannen prøver å holde oss i hackere nede ", skrev Hansen på bloggen sin på den tiden.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Clickjacking er et angrep der en bruker klikker på en knapp i en nettleser, og tenker at knappen vil utføre en bestemt funksjon, for eksempel å sende en nyhetshistorie til Digg, men i stedet angriper en angriper knappen for å bruke den til et annet formål. Sårbarheten er "åpenbart skremmende nok til at Adobe kan kalle det et kritisk problem og be om mer tid, selv om de bare var indirekte berørt," skrev Grossman i en epost.

I helgen planla Grossman og Hansen å informere Adobe om at de har til hensikt å fortsette med presentasjonen og gjøre beviskonseptkoden de utviklet tilgjengelig.

"Vi ga Adobe tid uten hjelp, fordi de spurte og vi har et godt samarbeid med dem. De bruker tiden produktivt, men vi kunne ikke godta en annen forsinkelse, "skrev Grossman. "Vår tro er clickjacking, fordi et problem ikke er et problem i programvaren, men med nettlesere generelt. Det ville ikke være rettferdig mot de andre at det har innflytelse på å være uten den informasjonen de trenger."

HITB vil bli avholdt i Kuala Lumpur fra 27.oktober.