[石河子网站建设]Adobe再曝Flash要紧漏洞 可偷控摄像头

Adobe再曝Flash要紧漏洞 可偷控摄像头

十月20日早间消息，Adobe公司正在修复一个Flash有关的漏洞，该漏洞可以被借助暗中打开访客的麦克风和摄像头。该问题在Adobe服务器的Flash播放器设置管理器中，Adobe的发言人Wiebke Lips表示。工程师正在加紧漏洞修复工作，Lips在e-mail中表示，注意的是该漏洞不会涉及或需要商品更新，可被在线在服务器端修复。QA工作完成后将立刻发布。预计该漏洞会在本周末被修复完毕。该漏洞是由斯坦福大学计算机系的学生Aboukhadiieh发现，并在昨天的博客中公布，且包括一段视频片段。该攻击用一种叫clickjacking的点击劫持方法，隐藏Flash设置管理器SWF文件在页面iFrame的后面，如此可以绕过framebusting JS代码。该漏洞攻击曾在2008年出现过。附来自Znet的早期报道：
安全专家们近期发出警告，一个最新发现的跨浏览器攻击漏洞将带来很可怕的安全问题，该漏洞影响所有主流桌面平台，包含，IE, Firefox, Safari, Opera与AdobeFlash。这个被叫做Clickjacking的安全威胁，原本要在OWASP NYC AppSec 2008大会上公布，但包含Adobe在内的厂家请求暂时不要公开这个漏洞，直到他们开发出安全补丁。
发现这个漏洞的是两个安全研究专家，Robert Hansen 与 Jeremiah Grossman，他们已经略透露了一点有关信息以显示该安全威胁的紧急性。Clickjacking到底是什么东西？
两为研究专家说，他们所发现的绝不是小问题，事实上，非常紧急，他们在透露这类信息之前需要负起责任，这类问题一环套一环，至少已经有两家厂家表示会提供补丁，但日期未定，大家现在只和有限的几个厂商探讨这个问题，所以，问题非常紧急。依据那些在OWASP参加过半公开性演示的人透露，这个漏洞很紧急，将影响到所有浏览器，而且它和JavaScript并没关系：
总的来讲，当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你用lynx一类的字符浏览器。这个漏洞与JavaScript无关，即便你关闭浏览器的JavaScript功能也没有办法。事实上这是浏览器工作原理中的一个缺点，没办法通过简单的补丁解决。一个恶意网站能叫你在毫不知情的状况下点击任意链接，任意按纽或网站上任意东西。假如这还不可以叫你恐慌的话，想想如此的情形，一个用户在被攻击的时候将毫不知情而且束手无策：
譬如在Ebay,由于可以嵌入JavaScript，虽然攻击并无需JavaScript，但可以让攻击更容易进行。只用lynx字符浏览器才能保护你一个人，同时不要任何动态的东西。该漏洞用到DHTML，用防frame代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些Flash游戏将首当其冲。据Hansen讲，他们已经同Microsoft与Mozilla谈论过这个问题，然而他们均表示这是个很棘手的问题，现在没简单的解决方法。标签：石河子网站建设 高端品牌网站建设