Hanno Böck - Don't Sniff the MIME - SecurityFest 2019
Adobe Systems har udgivet en ny version af sin Flash Player-software, der fastsætter en kritisk sikkerhedsfejl, der kan gøre internettet til et farligt sted for websurfere.
Den nye Flash Player 10-software, udgivet onsdag, løser sikkerhedsfejl i Adobes multimedieprogrammel, herunder fejl, der kan tillade hackere at trækker af det såkaldte clickjacking-angreb, skrev Adobe-talsmand David Lenoe i en blogpost.
For dem, der ikke kan opdatere til denne nye version af Flash, er en Flash 9-sikkerhedsrettelse stadig omkring en måned, tilføjede han. Adobe bedømmer clickjacking bug som "kritisk."
[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]Selvom det ikke er meget brugt af kriminelle, har clickjacking fået meget opmærksomhed siden den blev diskuteret første gang om måneden siden. Flash er ikke den eneste software, der er sårbar over for et clickjacking-angreb, men Flash-angreb er blevet betragtet blandt de farligste.
Sikkerhedsforskerne, der opdagede problemet, Robert Hansen og Jeremiah Grossman, havde til hensigt at drøfte clickjacking fuldt ud på en 24 september sikkerhedskonference præsentation. Men de støttede sig og gav en slanket version af deres tale, da Adobe bad om mere tid til at patchere softwaren.
Sikkerhedsforsker Guy Aharonovsky viste i sidste uge, hvordan et Adobe Flash clickjacking-angreb ville fungere, og med Informationer nu ude i det åbne, blev Hansen og Grossman offentliggjort med deres resultater.
I et clickjacking-angreb er hackernes brugere en række teknikker til at tage kontrol over, hvad der forbinder offeret, faktisk klikke. I et angreb vil for eksempel angriberen først skulle narre offeret til at besøge en ondsindet webside og derefter klikke på, hvad der syntes at være en regelmæssig weblink. I virkeligheden ville offeret klikke på noget helt andet, f.eks. Et Flash-objekt, der aktiverede sin mikrofon. "Det er næsten umuligt for en bruger at bestemme, hvad der vil ske, når de klikker på et link," siger Hansen, som er administrerende direktør for SecTheory.org, i et interview i sidste uge.
En clickjacker kunne ødelægge ofre pc'er dem at udføre online lagerhandler, slette blogsider, skifte en router eller firewallkonfiguration, oprette nye webpostkonti eller endda tvinge dem til at downloade software, siger Hansen.
Fordi clickjacking påvirker andre browser plugins, er den bedste måde at løse clickjacking problemet kan være at ændre den måde, browsere arbejder, sagde Hansen. "Browser beslutningstagere forstår problemet, og de forsøger at finde måder at afbøde det på," sagde han.
Apple har udgivet en opdatering til iPhone's OS, der har til formål at rette fejl og forhindre dem, der har hacket (eller jailbroken) deres iPhones til at køre uanvendt Apple-software. Men hvis du håbede på Apple fikseret alle de fejl, der har genereret mange greb (som kort batterilevetid), fortsætter med at drømme.
Nogle af ændringerne / rettelserne 2,0 bringer:
Fejl og fejl: Sikkerhedsfejl i fildeling Hits Vista
Plus: Hent plaster til ActiveX-kontroller, Firefox, Chrome og Safari, samt sikkerhedsopdateringer til Mac OS X 10.5.8.
Fejl og fejl: Firefox Squashes en buggy Microsoft Plug-In
Plus: En massiv Microsoft patch batch og rettelser til Adobe Reader og Acrobat.