EnglishVista之家(www.vista123.com):金山发布 Adobe Flash Player Clickjacking修补工具
最近关于 Clickjacking 的新闻不少,因为其影响范围实在是太大了,所以不可忽视。Adobe官方于昨日也发布了一个可以修复此问题的临时解决方案。
金山清理专家第一时间跟进并且推出了修补工具和关于 Clickjacking 的专题,在Adobe官方没有正式发布解决问题的新的Flash Player版本之前,大家可以先临时使用此工具进行修复。
金山清理专家将继续高度关注此问题,如果Adobe或者是其他浏览器厂商推出解决方案,金山清理专家都会在第一时间将解决方案推送给大家,欢迎大家经常使用清理专家扫描和修补漏洞,保障系统安全稳定运行。
一、Clickjacking相关资料
继GDI+图片漏洞之后,又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞,黑客可以控制用户的浏览器,在用户毫不知情 的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用"clickjacking"控 制<strong>摄像头和麦克风</strong>,并可以进一步利用病毒木马,盗取用户网银,游戏帐户,QQ帐户等用户虚拟 财产或者控制用户摄像头偷窥用户隐私……
1、影响范围:所有主流的桌面平台,包括IE、Firefox、Safari、Opera以及AdobeFlash。
2、相关的情景假设:
(1)当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器,除非你使用lynx一类的字符 浏览器。这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过 简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上任意东西。
(2)比如在Ebay,因为可以嵌入JavaScript,虽然攻击并不需要JavaScript,但可以让攻击更容易进行。只用lynx字符 浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链 接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。
专补工具下载地址:
http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe
Vista之家(www.vista123.com),爱上网,爱上Vista123.com
