Offensichtliche Sicherheitslücke bei Clickjacking Nächsten Monat

Nachdem auf der Anfrage des Unternehmens in diesem Monat Pläne für eine Browser-Clickjacking-Sicherheitslücke, die mittelbar mit den Produkten von Adobe Systems verknüpft ist, geplant sind, plant ein Sicherheitsforscher, den Fehler nächsten Monat genauer zu beschreiben.

Jeremiah Grossman, Chief Technology bei White Hat Security, wird die Sicherheitslücke auf der Konferenz Hack in The Box (HITB) in Kuala Lumpur, Malaysia, diskutieren. "Wir haben keine ETA auf Adobe-Fixes, aber wir hoffen, dass es Wochen und nicht Monate dauern wird. Ob sie nun" patchen "oder nicht, das wird den Inhalt meiner Grundsatzrede nicht ändern", schrieb er in einem e- mail.

Grossman hatte geplant, den Clickjacking-Fehler mit Robert Hansen, dem CEO von SecTheory, auf der Open Web Application Security-Konferenz in New York zu besprechen, aber sie haben die Präsentation auf Adobes Anfrage hin gezogen. Die Hacker sagten, dass kein Druck auf sie ausgeübt wurde, aber Adobe wollte Zeit, um die Schwachstelle zu untersuchen und zu behandeln, bevor sie veröffentlicht wurde. "Das ist kein Übel", versucht der Mann uns Hacker zu machen ", schrieb Hansen damals auf seinem Blog.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Clickjacking ist ein Angriff, bei dem ein Benutzer auf eine Schaltfläche in einem Browser klickt und denkt, dass die Schaltfläche eine bestimmte Funktion ausführt, z. B. eine Nachricht an Digg, aber stattdessen entwendet ein Angreifer die Schaltfläche, um sie für einen anderen Zweck zu verwenden. Die Sicherheitslücke ist "offensichtlich gruselig genug für Adobe, um es als ein kritisches Problem zu bezeichnen und um mehr Zeit zu bitten, obwohl sie nur indirekt betroffen sind", schrieb Grossman in einer E-Mail.

Über das Wochenende planten Grossman und Hansen Informieren Sie Adobe über die Absicht, mit der Präsentation fortzufahren und den von ihnen entwickelten Proof-of-Concept-Code zur Verfügung zu stellen.

"Wir haben Adobe aus Höflichkeit Zeit gegeben, weil sie gefragt haben und wir eine gute Arbeitsbeziehung mit ihnen haben die Zeit produktiv, aber wir konnten einer weiteren Verzögerung nicht zustimmen ", schrieb Grossman. "Unser Glaube ist Clickjacking, da ein Problem in ihrer Software kein Problem ist, aber bei Browsern im Allgemeinen. Es wäre für die anderen nicht fair, dass es sich ohne die Informationen, die sie brauchen, auswirkt."

HITB wird abgehalten in Kuala Lumpur vom 27. bis 30. Oktober.