釣蝦釣魚降龍會

 找回密碼
 加入我們無私分享




公益廣告:要省錢!戒菸直接省很大!發達最快第一步
查看: 2764|回復: 3
收起左側

[資訊分享] 最新瀏覽器攻擊手法:綁架Click執行惡意程式

[複製鏈接]
發表於 2008-11-3 05:16:17 | 顯示全部樓層 |閱讀模式
以下文章轉錄於iThome
http://www.ithome.com.tw/itadm/article.php?c=51602

========================================
新攻擊:綁架Click執行惡意程式   文/王宏仁 (記者) 2008-10-28

  新出現一種瀏覽器攻擊手法,駭客能偷取使用者滑鼠點閱的確認動作,來暗中執行惡意程式,可用防護iframe攻擊的方式,來防護Clickjacking。
  
  最近出現了一種新型態的瀏覽器攻擊手法,駭客能夠綁架使用者觸發確認按鈕的滑鼠(click)點擊動作,來暗中觸發惡意程式的執行。資安專家將這種方法稱為Clickjacking(點擊綁架),問題波及所有瀏覽器,包括微軟新版IE 8.0、Firefox 3.0與最新出爐的Google Chrome等,無一倖免。國外已實際利用此技術做出一個示範的網路遊戲。當使用者瀏覽遊戲畫面時,實際上已被暗中打開網路攝影機,偷拍使用者活動。

  上個月,WhiteHat Security技術長Jeremiah Grossman首度揭露了這個攻擊手法Clickjacking(點閱綁架)。這個安全漏洞讓駭客能夠控制使用者滑鼠的點閱動作,他在部落格中表示,幾乎所有瀏覽器都無法倖免,包括微軟新版IE 8.0、Firefox 3.0、Apple Safari、Google Chrome等,甚至連Youtube最常使用的Adobe Flash Player也有相同的問題。

  這個攻擊手法利用HTML語法所支援的某些特殊內嵌物件(例如Opaque物件)來隱藏使用者進行滑鼠點閱時的行為。使用者點閱網頁畫面時,就可能在不知情的情況下,點選了另外一個隱藏的按鈕,暗中執行了對使用者系統有安全威脅的指令或惡意程式。
  
  Jeremiah Grossman指出:「使用者可能在不知不覺中,就點下了打開麥克風和網路攝影機的確認按鈕,讓自己在電腦前的一舉一動,都被傳送到遠端網頁中偷錄下來。」

  上周Adobe已發表了緊急的防護建議,提供企業如何關閉Flash Player上麥克風與攝影功能的方法,並於本周推出Flash Player 10新版來修正。

  而Firefox瀏覽器外掛元件NoScript的作者Giorgio Maone,也迅速在NoScript 1.8.2.1新版中,增加一個ClearClick功能,能夠即時警告使用者,是否在無意間透過滑鼠或鍵盤與網頁互動,或者點選了網頁上的按鍵,讓使用者可以藉此防堵Clickjacking的攻擊。
  
  NoScript外掛元件只支援Firefox,其他瀏覽器則還未針對Clickjacking提出修補程式。目前,國外多數資安專家則建議使用者直接關閉Javascript功能,方能徹底確保安全。

  大砲開講部落格站長邱春樹建議:「可以用防護iframe攻擊的方法,來防護Clickjacking攻擊。」他解釋,駭客發動這兩種手法的條件是相同的,使用者必須瀏覽有Clickjacking程式的惡意網站,才會發生問題。因此,他認為,企業只要在瀏覽器中禁止iframe與Javascript的執行,或者限制使用者只能在企業內網使用,就可以有效預防Clickjacking。

  共同發現Clickjacking漏洞的SecTheory執行長Robert Hansen將於10月底來臺參加第二屆OWASP亞洲資安年會,預定在會議中全球首度公開最新惡意網頁攻擊手法Clickjacking的攻擊細節。文☉王宏仁

釣魚 釣蝦 美食 電影 旅遊 購物 水族 遊戲 特價 戶外活動 團購 攝影 住宿
發表於 2008-11-3 09:03:15 | 顯示全部樓層

回復 #1 AthlonXP 的帖子

感謝大大的提醒~在來要小心攻擊了~!!
回復

使用道具 舉報

發表於 2008-11-3 12:05:53 | 顯示全部樓層

回復 #1 AthlonXP 的帖子

請問大大 但是 我目前的系統沒有要求更新 
老師:更新 就是被攻破了 才要換新的修正 
這樣的話是不是我應該沒亂使用網路 登入惡意網站 
才沒更新的提醒呢?
回復

使用道具 舉報

 樓主| 發表於 2008-11-3 18:55:16 | 顯示全部樓層
原帖由 花蓮速度工坊N 於 2008-11-3 12:05 發表
請問大大 但是 我目前的系統沒有要求更新 
老師:更新 就是被攻破了 才要換新的修正 
這樣的話是不是我應該沒亂使用網路 登入惡意網站 
才沒更新的提醒呢?


更新跟你有沒有去惡意網站沒關係

你的自動更新有開嗎??
沒有的話就去手動更新試試看
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=zh-tw
回復

使用道具 舉報

手機版|降龍會多元化釣蝦釣魚天地

降龍會重要聲明
本站為一個自由的釣蝦釣魚討論區域,一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應完全信賴內容,並應自行判斷內容的真實性,而本站以即時上載留言的方式運作,降龍會 對所有留言的真實性、完整性及立場等,不負任何法律責任,由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者發現有留言出現問題,請聯絡我們我們將竭力配合修改。且敬告使用者和讀者, 請勿發表涉及政治,色情,盜版,人身攻擊等文章,倘若您不遵守以上規定,而產生法律問題,後果請自行負責。
Creative Commons License
釣蝦釣魚降龍會部分著作 採用創用 CC 姓名標示-非商業性-禁止改作 2.5 台灣 授權條款授權.

GMT+8, 2024-3-29 21:05

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表