Komponenter

Sikkerhedsfejl i Clickjacking, der afsløres næste måned

FDM afslører alvorlig sikkerhedsfejl i nye Volvo-modeller

FDM afslører alvorlig sikkerhedsfejl i nye Volvo-modeller
Anonim

Efter hylder planer om at detailere en browser clickjacking sårbarhed, der er indirekte relateret til Adobe Systems produkter på selskabets anmodning tidligere i måneden planlægger en sikkerhedsforsker at detaljere fejlen i næste måned.

Jeremiah Grossman, chefsteknologi ved White Hat Security, vil diskutere sårbarheden på Hack In The Box (HITB) konference i Kuala Lumpur, Malaysia. "Vi har ingen ETA på Adobe fixes, men vi håber, at det vil være uger og ikke måneder. Uanset om de" lapper ", vil det ikke ændre indholdet af min keynote tale," skrev han i en e- mail.

Grossman skulle planlægge detaljeret clickjacking fejlen med Robert Hansen, administrerende direktør for SecTheory, på konferencen Open Web Application Security Project i New York, men de tog præsentationen på Adobes anmodning. Hackerne sagde, at der ikke var presset på dem, men Adobe ønskede tid til at studere og løse sårbarheden, før den blev offentliggjort. "Dette er ikke ondt," manden forsøger at holde os hackere nede "situation," skrev Hansen på sin blog på det tidspunkt.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Clickjacking er et angreb, hvor en bruger klikker på en knap i en browser, og tænker på, at knappen vil udføre en bestemt funktion, som f.eks. indsender en nyhedshistorie til Digg, men i stedet angriber en hacker knappen for at bruge den til et andet formål. Sårbarheden er "åbenlyst skræmmende nok til, at Adobe kan kalde det et kritisk problem og bede om mere tid, selv om de kun var indirekte berørt", skrev Grossman i en e-mail.

I helgen planlagde Grossman og Hansen at informere Adobe om, at de har til hensigt at fortsætte med præsentationen og gøre den proof-of-concept-kode, de har udviklet til rådighed.

"Vi gav Adobe Time out of courtesy, fordi de spurgte, og vi har et godt samarbejde med dem. tiden produktivt, men vi kunne ikke acceptere en anden forsinkelse, "skrev Grossman. "Vores tro er clickjacking, da et problem ikke er et problem i deres software, men med browsere generelt. Det ville ikke være rimeligt for de andre, at det har betydning for at være uden de oplysninger, de har brug for."

HITB vil blive afholdt i Kuala Lumpur fra 27-30 oktober.