Adobe Fixiert "Clickjacking" Fehler

Adobe Systems hat eine neue Version veröffentlicht Die neue Flash Player 10-Software, die am Mittwoch veröffentlicht wurde, behebt Sicherheitslücken in der Adobe-Multimediasoftware, einschließlich Bugs, die Hackern das Leben schwer machen könnten "Clickjacking-Attacke", schrieb Adobe-Sprecher David Lenoe in einem Blogbeitrag.

Für diejenigen, die nicht auf diese neue Flash-Version updaten können, ist ein Flash 9-Sicherheits-Patch noch etwa einen Monat lang, fügte er hinzu. Adobe bewertet den Clickjacking-Fehler als "kritisch".

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Obwohl Clickjacking nicht häufig von Kriminellen verwendet wird, hat es seit der ersten Diskussion im Monat viel Aufmerksamkeit erhalten vor. Flash ist nicht die einzige Software, die anfällig für einen Clickjacking-Angriff ist, aber Flash-Attacken wurden zu den gefährlichsten gezählt.

Die Sicherheitsforscher Robert Hansen und Jeremiah Grossman, die das Problem entdeckt hatten, hatten vor, das Clickjacking vollständig zu diskutieren eine Präsentation der Sicherheitskonferenz am 24. September. Aber sie zogen sich zurück und gaben eine abgespeckte Version ihres Vortrags, als Adobe nach mehr Zeit für das Patchen seiner Software fragte.

Letzte Woche zeigte jedoch der Sicherheitsforscher Guy Aharonovsky, wie ein Click-Angriff von Adobe Flash funktioniert und mit dem Hansen und Grossman gingen mit ihren Erkenntnissen an die Öffentlichkeit.

Bei einem Clickjacking-Angriff benutzt der Hacker eine Vielzahl von Techniken, um zu kontrollieren, auf welche Links das Opfer tatsächlich klickt. Bei einem Angriff müsste der Angreifer beispielsweise das Opfer zuerst dazu verleiten, eine schädliche Webseite zu besuchen und dann auf einen scheinbar normalen Weblink zu klicken. In Wirklichkeit würde das Opfer auf etwas ganz anderes klicken, etwa auf ein Flash-Objekt, das sein Mikrofon eingeschaltet hat. "Es ist fast unmöglich für einen Benutzer zu bestimmen, was passieren wird, wenn er auf einen Link klickt", sagte Hansen, CEO von SecTheory.org, in einem Interview letzte Woche.

Ein Clickjacker könnte die PCs der Opfer abhören, zwingen Sie können Online-Börsengeschäfte ausführen, Blog-Seiten löschen, eine Router- oder Firewall-Konfiguration ändern, neue Web-Mail-Konten erstellen oder sogar zum Download von Software zwingen.

Da Clickjacking andere Browser-Plugins beeinflusst, ist dies die beste Lösung Das Clickjacking-Problem könnte darin bestehen, die Arbeitsweise der Browser zu ändern, sagte Hansen. "Browserhersteller verstehen das Problem und sie versuchen, Wege zu finden, um es zu mildern", sagte er.