跨浏览器攻击Clickjacking漏洞解决方案

资讯 » 安全播报

安全播报

[时间：2008-10-10 4:57 pm | 编辑：tutu ]

共有41篇评论 | 分类：安全播报 |

标签：Clickjacking，攻击漏洞，跨浏览器

　　一、Clickjacking相关资料

　　继GDI＋图片漏洞之后，又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞，黑客可以控制用户的浏览器，在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用"clickjacking"控制<strong>摄像头和麦克风</strong>，并可以进一步利用病毒木马，盗取用户网银，游戏帐户，QQ帐户等用户虚拟财产或者控制用户摄像头偷窥用户隐私……

　　1、影响范围：所有主流的桌面平台，包括IE、Firefox、Safari、Opera以及AdobeFlash。

　　2、相关的情景假设：

　　（1）当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript无关，即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按纽或网站上任意东西。

　　（2）比如在Ebay，因为可以嵌入JavaScript，虽然攻击并不需要JavaScript，但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己，同时不要任何动态的东西。该漏洞用到DHTML，使用防frame代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些Flash游戏将首当其冲。

　　二、黑客藉此漏洞的攻击原型

　　黑客通过flash小游戏来控制用户的摄像头和麦克风

　　http://news.duba.net/contents/2008-10/10/4233.html

　　三、Adobe对于Clickjacking漏洞首度作出回应

　　虽然此漏洞在更早前的时候就已经被发现，并且预计要在OWASPNYCAppSec2008大会上公布，但是由于此漏洞的影响很大，相关厂商请求暂时不要公开此漏洞，直到他们开发出相应的安全补丁。

　　10月9日，Adobe首度对于Clickjacking漏洞作出回应，在其安全公告栏上第一次提及此事，表示Clickjacking漏洞影响到AdobeFlash9.0.124.0之前的所有版本。同时他们发布了暂时的解决方案。

　　四、金山解决方案

　　针对Adobe公司发布的解决方案，金山漏洞修复发出专补工具。

　　金山专补工具下载地址：http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe

　　备注：由于本次仅发放了Adobe一家公司的解决方案，各浏览器厂家还没有回应此事，可以请用户随时关注金山清理专家发出的安全公告一类的事。

　　五、其他相关文档

　　Adobe网站的官方公告：http://www.adobe.com/support/security/advisories/apsa08-08.html

共有41篇评论 | 分类：安全播报 |

标签：Clickjacking，攻击漏洞，跨浏览器

[返回顶部] [内容指正] [打印此页] [关闭]

产品咨询与帮助请前往毒霸客服专区>> 网友评论　　

1 # 匿名 2008-10-14 9:56 am 发表评论

暂时不发表意见

2 # 匿名 2008-10-14 12:05 pm 发表评论

Visit系统该如何做？

3 # 匿名 2008-10-14 12:32 pm 发表评论

怎样才能解决

4 # 匿名 2008-10-14 4:22 pm 发表评论

那9.0.124.0版本的不会被攻击啰！

5 # 匿名 2008-10-14 6:54 pm 发表评论

看了真的好怕

6 # 匿名 2008-10-14 9:45 pm 发表评论

我用的就是金山毒霸原装版,用的还不错我顶,

7 # 匿名 2008-10-15 12:05 am 发表评论

flash又出巨大漏洞了，现在动不动就出来这种恶性漏洞，晕啊。

8 # 匿名 2008-10-15 8:20 am 发表评论

9 # 匿名 2008-10-17 7:13 pm 发表评论

晕游戏帐号又盗了

10 # 匿名 2008-10-18 1:27 pm 发表评论

我晕… 那黑客咋那么多窍门啊？

11 # 匿名 2008-10-18 10:17 pm 发表评论

没事，没事，把自己的网线拔了就没事了。

12 # 匿名 2008-10-19 12:04 pm 发表评论

怎样修补啊？？？

13 # 匿名 2008-10-19 3:03 pm 发表评论

所谓的金山毒霸杀毒软件一切都是在骗人的，不可相信，

14 # 匿名 2008-10-20 12:30 am 发表评论

我日他祖宗的以后在家还能不能上网了？到处是漏洞，我一个星期都重做了3会系统了一键还原都不能用，那些做软件的是干什么吃的

15 # 匿名 2008-10-21 1:38 am 发表评论

金山值的大家信任.. 金山最棒

16 # 匿名 2008-10-23 5:28 pm 发表评论

我也支持金山，金山处处为国人着想，值得信任！

17 # 匿名 2008-10-23 8:58 pm 发表评论

今天换上了WPS，国产的就是亲切阿！操作系统用什么替换好？我们争取早日摆脱“微软—危险”！

18 # 匿名 2008-10-24 1:02 am 发表评论

支持支持~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

19 # 匿名 2008-10-24 6:28 pm 发表评论

谢谢金山哈!支持.

20 # 匿名 2008-10-25 9:08 am 发表评论

有办法解决不!

我就中的这病毒!

杀毒工具不行!

21 # 匿名 2008-10-27 12:43 am 发表评论

我是用的金山毒霸，我的电脑有75个漏洞补不了，是咋会事？高手们教教我，谢谢先！

22 # 匿名 2008-10-27 5:51 pm 发表评论

no.不行…………………………….

23 # 匿名 2008-10-27 5:52 pm 发表评论

1111111111111111111111111111111111111

24 # 匿名 2008-10-28 8:42 am 发表评论

我中招了，游戏帐号没盗，东西被洗空了…..

25 # 匿名 2008-10-28 8:45 am 发表评论

1111

26 # 匿名 2008-10-28 8:46 am 发表评论

3232131

27 # 匿名 2008-10-31 9:10 pm 发表评论

我的浏览器被黑客控制了怎么办啊

28 # 匿名 2008-11-01 11:05 am 发表评论

晕！不懂啊，到底是flashplayer有问题还是浏览器工作原理有问题啊？
感觉好像是WINDOWS系统有问题，linux系统有事吗？？？

29 # 匿名 2008-11-02 12:48 am 发表评论

我的金山清理专家检测到系统有Flash漏洞下载完成却无法安装每次都回检测到这个漏洞不知道怎么回事

30 # 匿名 2008-11-03 8:55 pm 发表评论

恐怖 ……………… 我以后再也不上网………………………………..

31 # 匿名 2008-11-04 7:51 pm 发表评论

没用，，

32 # 匿名 2008-11-04 8:56 pm 发表评论

我的金山清理专家检测到系统有Flash漏洞下载完成却无法安装每次都回检测到这个漏洞不知道怎么回事。是啊，我的也是这样不知该怎么办？？？

33 # 匿名 2008-11-05 9:48 pm 发表评论

我的电脑有漏洞，Adobe Flash player存在安全漏洞，黑客可利用Flash诱导使用浏览。
请问专家要怎样修补?

34 # 匿名 2008-11-05 9:50 pm 发表评论

我的金山清理专家检测到系统有Flash漏洞下载完成却无法安装每次都回检测到这个漏洞不知道怎么回事
我的也是这样怎么办呢

35 # 匿名 2008-11-06 9:32 am 发表评论

金山清理专家检测到系统有Flash漏洞下载完成却无法安装每次都回检测到这个漏洞不知道怎么回

36 # 匿名 2008-11-06 11:33 pm 发表评论

我也是金山清理专家检测到系统有Flash漏洞下载完成却无法安装每次都回检测到这个漏洞不知道怎么回事？

37 # 匿名 2008-11-08 9:41 pm 发表评论

那个什么一号解决方案同，专用修复工具一点都不管用，什么时侯才能出现有效方案哦！

38 # 匿名 2008-11-12 12:09 pm 发表评论

MS07-050 补丁无法下载安装，该怎么办？

39 # 匿名 2008-11-12 3:36 pm 发表评论

我也是金山清理专家检测到系统有Flash漏洞,下载时显示”下载补丁失败.可能是网络繁忙,请过一段时间再试”.但是随过多久试,都还是那个样,我该怎么办?请回复我,谢谢!

40 # 匿名 2008-11-16 8:40 am 发表评论

我的金山清理专家检测到系统有KB951535漏洞下载完成却无法安装每次都回检测到这个漏洞不知道怎么回事
这怎办

41 # 匿名 2008-11-18 8:49 pm 发表评论

我中招了，游戏帐号没盗，东西被洗空了…..