安全專家們最近發出警告,一個最新發現的跨瀏覽器攻擊漏洞將帶來非常可怕的安全問題,該漏洞影響所有主流桌面平台,包括,IE,Firefox,Safari,Opera以及AdobeFlash。這個被稱為Clickjacking的安全威脅,原本要在OWASPNYCAppSec2008大會上公布,但包括Adobe在內的廠商請求暫時不要公開這個漏洞,直到他們開發出安全補丁。發現這個漏洞的是兩個安全研究專家,RobertHansen與JeremiahGrossman,他們已經略透露了一點相關信息以顯示該安全威脅的嚴重性。
什麼是Clickjacking
簡單的說Clickjacking是一種攻擊,是一種新型的WEB方式攻擊。Clickjacking翻譯可將他拆成click-jacking來理解,click是點擊的意思,jacking應是劫持的意思。連起來翻譯就是“點擊劫持”。
Clickjacking相關資料
繼GDI+圖片漏洞之後,又一影響更為深遠的攻擊漏洞Clickjacking被揭露。通過此漏洞,黑客可以控制用戶的瀏覽器,在用戶毫不知情的情況下點擊任意連結、任意按鈕或者網上任意的東西。黑客可以輕易利用"clickjacking"控制攝像頭和麥克風,並可以進一步利用病毒木馬,盜取用戶網銀,遊戲帳戶,QQ帳戶等用戶虛擬財產或者控制用戶攝像頭偷窺用戶隱私……
1、影響範圍:所有主流的桌面平台,包括IE、Firefox、Safari、Opera以及AdobeFlash。
2、相關的情景假設:
(1)當你訪問一個惡意網站的時候,攻擊者可以控制你的瀏覽器對一些連結的訪問,這個漏洞影響到幾乎所有瀏覽器,除非你使用lynx一類的字元瀏覽器。這個漏洞與JavaScript無關,即使你關閉瀏覽器的JavaScript功能也無能為力。事實上這是瀏覽器工作原理中的一個缺陷,無法通過簡單的補丁解決。一個惡意網站能讓你在毫不知情的情況下點擊任意連結,任意按紐或網站上任意東西。
(2)比如在Ebay,因為可以嵌入JavaScript,雖然攻擊並不需要JavaScript,但可以讓攻擊更容易進行。只用lynx字元瀏覽器才能保護你自己,同時不要任何動態的東西。該漏洞用到DHTML,使用防frame代碼可以保護你不受跨站點攻擊,但攻擊者仍可以強迫你點擊任何連結。你所做的任何點擊都被引導到惡意連結上,所以,那些Flash遊戲將首當其衝。
補丁工具
金山專補工具下載地址:
http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe
金山補丁360“Flash強制啟動視頻”漏洞修補工具
http://dl.360safe.com/360flashvfix.exe
360補丁手動解決方案
當前,最簡單的辦法是禁用瀏覽器的腳本和外掛程式功能。
1、通過如下路徑找到mms.cfg檔案:C:\WINDOWS\system32\Macromed\Flash;
2、用記事本打開該檔案;
3、將AVHardwareDisable的值從0改為1,保存退出即可。
