釣蝦釣魚降龍會

標題: 最新瀏覽器攻擊手法：綁架Click執行惡意程式 [打印本頁]

作者: AthlonXP 時間: 2008-11-3 05:16
標題: 最新瀏覽器攻擊手法：綁架Click執行惡意程式
以下文章轉錄於iThome
http://www.ithome.com.tw/itadm/article.php?c=51602

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
新攻擊：綁架Click執行惡意程式　　　文/王宏仁 (記者) 2008-10-28

　　新出現一種瀏覽器攻擊手法，駭客能偷取使用者滑鼠點閱的確認動作，來暗中執行惡意程式，可用防護iframe攻擊的方式，來防護Clickjacking。

　　最近出現了一種新型態的瀏覽器攻擊手法，駭客能夠綁架使用者觸發確認按鈕的滑鼠（click）點擊動作，來暗中觸發惡意程式的執行。資安專家將這種方法稱為Clickjacking（點擊綁架），問題波及所有瀏覽器，包括微軟新版IE 8.0、Firefox 3.0與最新出爐的Google Chrome等，無一倖免。國外已實際利用此技術做出一個示範的網路遊戲。當使用者瀏覽遊戲畫面時，實際上已被暗中打開網路攝影機，偷拍使用者活動。

　　上個月，WhiteHat Security技術長Jeremiah Grossman首度揭露了這個攻擊手法Clickjacking（點閱綁架）。這個安全漏洞讓駭客能夠控制使用者滑鼠的點閱動作，他在部落格中表示，幾乎所有瀏覽器都無法倖免，包括微軟新版IE 8.0、Firefox 3.0、Apple Safari、Google Chrome等，甚至連Youtube最常使用的Adobe Flash Player也有相同的問題。

　　這個攻擊手法利用HTML語法所支援的某些特殊內嵌物件（例如Opaque物件）來隱藏使用者進行滑鼠點閱時的行為。使用者點閱網頁畫面時，就可能在不知情的情況下，點選了另外一個隱藏的按鈕，暗中執行了對使用者系統有安全威脅的指令或惡意程式。
　　
　　Jeremiah Grossman指出：「使用者可能在不知不覺中，就點下了打開麥克風和網路攝影機的確認按鈕，讓自己在電腦前的一舉一動，都被傳送到遠端網頁中偷錄下來。」

　　上周Adobe已發表了緊急的防護建議，提供企業如何關閉Flash Player上麥克風與攝影功能的方法，並於本周推出Flash Player 10新版來修正。

　　而Firefox瀏覽器外掛元件NoScript的作者Giorgio Maone，也迅速在NoScript 1.8.2.1新版中，增加一個ClearClick功能，能夠即時警告使用者，是否在無意間透過滑鼠或鍵盤與網頁互動，或者點選了網頁上的按鍵，讓使用者可以藉此防堵Clickjacking的攻擊。
　　
　　NoScript外掛元件只支援Firefox，其他瀏覽器則還未針對Clickjacking提出修補程式。目前，國外多數資安專家則建議使用者直接關閉Javascript功能，方能徹底確保安全。

　　大砲開講部落格站長邱春樹建議：「可以用防護iframe攻擊的方法，來防護Clickjacking攻擊。」他解釋，駭客發動這兩種手法的條件是相同的，使用者必須瀏覽有Clickjacking程式的惡意網站，才會發生問題。因此，他認為，企業只要在瀏覽器中禁止iframe與Javascript的執行，或者限制使用者只能在企業內網使用，就可以有效預防Clickjacking。

　　共同發現Clickjacking漏洞的SecTheory執行長Robert Hansen將於10月底來臺參加第二屆OWASP亞洲資安年會，預定在會議中全球首度公開最新惡意網頁攻擊手法Clickjacking的攻擊細節。文⊙王宏仁

作者: 非常會掉 時間: 2008-11-3 09:03
標題: 回復 #1 AthlonXP 的帖子
感謝大大的提醒~在來要小心攻擊了~!!

作者: 花蓮速度工坊N 時間: 2008-11-3 12:05
標題: 回復 #1 AthlonXP 的帖子
請問大大　但是　我目前的系統沒有要求更新　
老師：更新　就是被攻破了　才要換新的修正　
這樣的話是不是我應該沒亂使用網路　登入惡意網站　
才沒更新的提醒呢？

作者: AthlonXP 時間: 2008-11-3 18:55

原帖由 花蓮速度工坊N 於 2008-11-3 12:05 發表

 登錄/註冊後可看大圖

請問大大　但是　我目前的系統沒有要求更新　
老師：更新　就是被攻破了　才要換新的修正　
這樣的話是不是我應該沒亂使用網路　登入惡意網站　
才沒更新的提醒呢？

更新跟你有沒有去惡意網站沒關係

你的自動更新有開嗎??
沒有的話就去手動更新試試看
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=zh-tw

歡迎光臨釣蝦釣魚降龍會 (https://vanquishloong.com/vanquishloong/)