更新時間:2025-05-21 08:11:14
網站建設
653Adobe再曝Flash重要漏洞 可偷控攝像頭
10 月20 日上午,Adobe 正在修復一個與Flash 相關的漏洞,該漏洞可被用來秘密打開訪問者的麥克風和攝像頭。
“問題出在Adobe 服務器上的Flash Player 設置管理器中,”Adobe 發言人Wiebke Lips 說。 “工程師們正在加緊修復錯誤,”利普斯在一封電子郵件中說。 “請注意,這個bug不涉及也不需要產品更新,可以在服務器端在線修復,待QA工作完成后第一時間發布。”
該漏洞預計將在本周末修復。
該漏洞由斯坦福大學計算機科學專業的學生Aboukhadiieh 發現,并于昨天在博客文章中公布,其中包括一段視頻剪輯。該攻擊使用一種名為“clickjacking”的點擊劫持方法,將Flash設置管理器SWF文件隱藏在頁面的iFrame后面,從而可以繞過framebusting JS代碼。 (北京網出品)
漏洞攻擊出現于2008年附來自Znet的早期報道:
安全專家近日警告稱,一個新發現的跨瀏覽器攻擊漏洞將帶來嚴重的安全問題,該漏洞影響所有主要桌面平臺,包括,IE、Firefox、Safari、Opera 和Adobe Flash。這種被稱為點擊劫持的安全威脅本應在OWASP NYC AppSec 2008 會議上公布,但包括Adobe 在內的供應商要求在開發安全補丁之前不要披露該漏洞。
該漏洞由兩位安全研究專家Robert Hansen 和Jeremiah Grossman 發現,他們提供了一些信息以顯示安全威脅的嚴重性。Clickjacking到底是什么東西?
兩位研究專家表示,他們發現的問題不小。事實上,這是嚴重的。但日期未定。我們目前只和有限的廠家討論這個問題,所以問題很嚴重。
據參加OWASP 半公開演講的人士表示,該漏洞很緊急,影響所有瀏覽器,與JavaScript 無關:
一般來說,當你訪問一個惡意網站時,攻擊者可以控制你的瀏覽器對某些鏈接的訪問。這個漏洞影響幾乎所有的瀏覽器,除非你使用像lynx這樣的字符瀏覽器。該漏洞與JavaScript無關,即使關閉瀏覽器的JavaScript功能也無濟于事。事實上,這是瀏覽器工作方式的缺陷,無法通過簡單的補丁修復。惡意網站可以讓您在您不知情的情況下點擊網站上的任何鏈接、任何按鈕或任何內容。
如果這沒有嚇到您,請考慮這樣一種情況,用戶在受到攻擊時會毫無察覺且無助:
比如在Ebay,因為可以嵌入JavaScript,雖然攻擊不需要JavaScript,但是可以讓攻擊變得更容易。只用lynx字符瀏覽器保護自己,不要什么動態的。該漏洞使用DHTML,使用反框架代碼可以保護您免受跨站攻擊,但攻擊者仍然可以強制您點擊任何鏈接。您所做的任何點擊都會指向惡意鏈接,因此那些Flash 游戲將首當其沖。據漢森介紹,他們已經與微軟和Mozilla 談過這個問題,但他們都表示這是一個非常困難的問題,沒有簡單的解決方案。
標簽: 北京網站制作高端網站建設
我們專注高端建站,小程序開發、軟件系統定制開發、BUG修復、物聯網開發、各類API接口對接開發等。十余年開發經驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!
