[北京網(wǎng)站制作]Adobe再曝Flash重要漏洞 可偷控?cái)z像頭

10月20日早間消息，Adobe公司正在修復(fù)一個(gè)Flash相關(guān)的漏洞，該漏洞可以被利用暗中打開訪客的麥克風(fēng)和攝像頭。

“該問題在Adobe服務(wù)器的Flash播放器設(shè)置管理器中”，Adobe的發(fā)言人Wiebke Lips表示。“工程師正在加緊漏洞修復(fù)工作”，Lips在e-mail中表示，“注意的是該漏洞不會涉及或需要產(chǎn)品更新，可被在線在服務(wù)器端修復(fù)。QA工作完成后將馬上發(fā)布。”

預(yù)計(jì)該漏洞會在本周末被修復(fù)完畢。

該漏洞是由斯坦福大學(xué)計(jì)算機(jī)系的學(xué)生Aboukhadiieh發(fā)現(xiàn)，并在昨天的博客中公布，且包含一段視頻片段。該攻擊使用一種叫“clickjacking”的點(diǎn)擊劫持方式，隱藏Flash設(shè)置管理器SWF文件在頁面iFrame的后面，這樣可以繞過framebusting JS代碼。(北京網(wǎng)站制作)

該漏洞攻擊曾在2008年出現(xiàn)過。附來自Znet的早期報(bào)道：
安全專家們最近發(fā)出警告，一個(gè)最新發(fā)現(xiàn)的跨瀏覽器攻擊漏洞將帶來非?？膳碌陌踩珕栴}，該漏洞影響所有主流桌面平臺，包括，IE, Firefox, Safari, Opera以及AdobeFlash。這個(gè)被稱為Clickjacking的安全威脅，原本要在OWASP NYC AppSec 2008大會上公布，但包括Adobe在內(nèi)的廠商請求暫時(shí)不要公開這個(gè)漏洞，直到他們開發(fā)出安全補(bǔ)丁。
發(fā)現(xiàn)這個(gè)漏洞的是兩個(gè)安全研究專家，Robert Hansen 與 Jeremiah Grossman，他們已經(jīng)略透露了一點(diǎn)相關(guān)信息以顯示該安全威脅的嚴(yán)重性。

Clickjacking到底是什么東西？
兩為研究專家說，他們所發(fā)現(xiàn)的絕非小問題，事實(shí)上，很嚴(yán)重，他們在透露這些信息之前需要負(fù)起責(zé)任，這些問題一環(huán)套一環(huán)，至少已經(jīng)有兩家廠商表示會提供補(bǔ)丁，但日期未定，我們目前只和有限的幾個(gè)廠家探討這個(gè)問題，所以，問題很嚴(yán)重。

根據(jù)那些在OWASP參加過半公開性演示的人透露，這個(gè)漏洞非常緊急，將影響到所有瀏覽器，而且它和JavaScript并沒有關(guān)系：
總的來說，當(dāng)你訪問一個(gè)惡意網(wǎng)站的時(shí)候，攻擊者可以控制你的瀏覽器對一些鏈接的訪問，這個(gè)漏洞影響到幾乎所有瀏覽器，除非你使用lynx一類的字符瀏覽器。這個(gè)漏洞與JavaScript無關(guān)，即使你關(guān)閉瀏覽器的JavaScript功能也無能為力。事實(shí)上這是瀏覽器工作原理中的一個(gè)缺陷，無法通過簡單的補(bǔ)丁解決。一個(gè)惡意網(wǎng)站能讓你在毫不知情的情況下點(diǎn)擊任意鏈接，任意按紐或網(wǎng)站上任意東西。

如果這還不能讓你恐慌的話，想想這樣的情形，一個(gè)用戶在被攻擊的時(shí)候?qū)⒑敛恢槎沂譄o策：
比如在Ebay,因?yàn)榭梢郧度隞avaScript，雖然攻擊并不需要JavaScript，但可以讓攻擊更容易進(jìn)行。只用lynx字符瀏覽器才能保護(hù)你自己，同時(shí)不要任何動態(tài)的東西。該漏洞用到DHTML，使用防frame代碼可以保護(hù)你不受跨站點(diǎn)攻擊，但攻擊者仍可以強(qiáng)迫你點(diǎn)擊任何鏈接。你所做的任何點(diǎn)擊都被引導(dǎo)到惡意鏈接上，所以，那些Flash游戲?qū)⑹桩?dāng)其沖。據(jù)Hansen講，他們已經(jīng)同微軟以及Mozilla談?wù)撨^這個(gè)問題，然而他們均表示這是個(gè)非常棘手的問題，目前沒有簡單的解決辦法。

標(biāo)簽：北京網(wǎng)站制作 高端網(wǎng)站建設(shè)