新出現一種瀏覽器攻擊手法,駭客能偷取使用者滑鼠點閱的確認動作,來暗中執行惡意程式,可用防護iframe攻擊的方式,來防護Clickjacking。 最近出現了一種新型態的瀏覽器攻擊手法,駭客能夠綁架使用者觸發確認按鈕的滑鼠(click)點擊動作,來暗中觸發惡意程式的執行。資安專家將這種方法稱為Clickjacking(點擊綁架),問題波及所有瀏覽器,包括微軟新版IE 8.0、Firefox 3.0與最新出爐的Google Chrome等,無一倖免。國外已實際利用此技術做出一個示範的網路遊戲。當使用者瀏覽遊戲畫面時,實際上已被暗中打開網路攝影機,偷拍使用者活動。
上個月,WhiteHat Security技術長Jeremiah Grossman首度揭露了這個攻擊手法Clickjacking(點閱綁架)。這個安全漏洞讓駭客能夠控制使用者滑鼠的點閱動作,他在部落格中表示,幾乎所有瀏覽器都無法倖免,包括微軟新版IE 8.0、Firefox 3.0、Apple Safari、Google Chrome等,甚至連Youtube最常使用的Adobe Flash Player也有相同的問題。
這個攻擊手法利用HTML語法所支援的某些特殊內嵌物件(例如Opaque物件)來隱藏使用者進行滑鼠點閱時的行為。使用者點閱網頁畫面時,就可能在不知情的情況下,點選了另外一個隱藏的按鈕,暗中執行了對使用者系統有安全威脅的指令或惡意程式。
全文>> 
沒有留言:
張貼留言