Adobe Fixes' clickjacking 'פגם

Adobe Systems פרסמה גרסה חדשה של תוכנת Flash Player שלה, תיקון באג אבטחה קריטי שיכול להפוך את האינטרנט למקום מסוכן עבור הגולשים.

התוכנה החדשה Flash Player 10, שפורסמה ביום רביעי, מתקן פגמים אבטחה בתוכנת מולטימדיה של Adobe כולל באגים שיכולים לאפשר האקרים לשלוף את מה שמכונה התקפת clickjacking, כתב דובר Adobe David Lenoe בהודעה בבלוג.

עבור אלה שאינם יכולים לעדכן את הגירסה החדשה של Flash, תיקון אבטחה 9 Flash הוא עדיין על חודש חופש, הוא הוסיף. Adobe […] [

] [לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

למרות שלא נעשה שימוש נרחב על ידי עבריינים, Clickjacking זכה לתשומת לב רבה מאז נדונו לראשונה בחודש לִפנֵי. פלאש הוא לא רק תוכנה פגיע להתקפה clickjacking, אבל התקפות פלאש נחשבו בין המסוכן ביותר.

החוקרים אבטחה שגילו את הבעיה, רוברט הנסן וירמיהו גרוסמן, התכוון לדון באופן מלא לחץ על מצגת של ועידת האבטחה של ה -24 בספטמבר. אבל הם נסוגו לאחור ונתנו גרסה קלילה של הדיבור שלהם כאשר Adobe ביקש זמן נוסף כדי לתקן את התוכנה שלה.

בשבוע שעבר, עם חוקר האבטחה גיא אהרונובסקי הראה איך Adobe Flash לחץ על התקפה היה עובד, ועם מידע עכשיו בחוץ פתוח, הנסן ו גרוסמן הלך הציבור עם הממצאים שלהם.

בהתקפה clickjacking, משתמשים האקר מגוון של טכניקות כדי להשתלט על מה הקישורים הקורבן הוא בעצם לחיצה. בהתקפה אחת, למשל, התוקף יצטרך תחילה להערים על הקורבן כדי לבקר בדף אינטרנט זדוני ולאחר מכן ללחוץ על מה שנראה כקישור אינטרנט רגיל. במציאות הקורבן היה לחיצה על משהו שונה לגמרי כגון אובייקט פלאש כי הפעל את המיקרופון שלו. "זה כמעט בלתי אפשרי עבור משתמש כדי לקבוע מה הולך לקרות כאשר הם לוחצים על קישור", אמר הנסן, מנכ"ל SecTheory.org, בראיון בשבוע שעבר.

קליקאקר יכול לצותת מחשבים הקורבנות, כוח אותם כדי לבצע מסחר במניות מקוונות, למחוק דפי בלוג, לשנות את תצורת הנתב או את חומת האש, ליצור חשבונות דואר אלקטרוני חדשים או אפילו להכריח אותם להוריד תוכנות.

מכיוון ש- clickjacking משפיע על תוספים אחרים לדפדפן, הדרך הטובה ביותר לתקן את הבעיה clickjacking עשוי להיות לשנות את הדרך בה דפדפנים לעבוד, אמר הנסן. "מקבלי הדפדפנים מבינים את הבעיה והם מנסים למצוא דרכים להקל עליה", הוא אומר