2025. június 30., hétfő - Pál

Súlyos sebezhetőséget találtak a böngészőkben

2008-09-30 716
A hibát jó előre bejelentették, részleteket viszont nem hoznak nyilvánosságra addig, amíg nincs legalább egy patch.A sebezhetőségek egy új típusát fedezték fel nemrég biztonsági szakemberek. A „clickjacking” néven emlegetett támadásról egyelőre nem sokat tudni, csupán azt, hogy a népszerû böngészők...

 ...mindegyikén mûködik. A módszert egy múlt heti szakkonferencián, az OWASP NYC AppSec 2008-on tervezte bemutatni két szakértő, Robert „RSnake” Hansen és Jeremiah Grossman, de az egyik érintett cég, az Adobe kérésére végül lemondtak a részletek közzétételéről mindaddig, amíg el nem készül a hibát javító patch.

Amint Hansen a Computerworld-nek elmondta: a clickjacking hasonló az ún. CSRF (cross-site request forgery) támadáshoz – amely a weboldal felhasználó iránti bizalmára épül és hamis HTTP-kéréseket használ –, de mégis különbözik attól annyira, hogy a jelenlegi CSRF-ellenes védelmi megoldások nem mûködnek ellene.

„Gondoljunk azokra a gombokra, amelyek egy weboldalon megjelenhetnek. Ilyeneket használunk a banki átutalásoknál, de ilyenek a Digg gombjai vagy a reklámbannerek stb. A lista gyakorlatilag végtelen, és ezek relatíve ártalmatlan példák. Utána gondoljunk egy olyan támadásra, amely ezeket a gombokat láthatatlanul képes a felhasználó egérmutatója alá tenni, hogy amikor az rákattintana arra, amit lát, valójában arra kattintson, amit a támadó helyezett el az oldalon” – próbálta megvilágítani az attak mûködését a másik előadó, Jeremiah Grossman. Ráadásul a támadás kivitelezéséhez nem is kell feltörni a kérdéses szájtokat.

A sebezhetőséget csak a böngészők patchelésével lehet megszüntetni – állítja a páros. A Microsofttal, a Mozillával és az Apple-lel már fel is vették a kapcsolatot, de azt egyelőre nem tudni, hogy a cégek mennyire veszik komolyan a hibát, és mennyire sietnek annak befoltozásával. Jelen pillanatban a legjobb védelmet a clickjacking ellen a NoScript kiegészítővel ellátott Firefox jelenti – Hansen szerint ez a támadások 99,99 százaléka ellen megvéd –, ez viszont csak profibb felhasználóknak ajánlott.

Hansen és Grossman példakódokkal együtt közzé fogja tenni a részleteket, amint az Adobe elkészül a saját patchével. Azt sem a sebezhetőséget felfedező szakértők, sem a szoftvercég nem árulta el, hogy melyik Adobe-terméket érinti a hiba, de jó eséllyel gyanítható, hogy az internetes oldalakon széles körben használt Flashről van szó.

(Forrás: www.itcafe.hu)

Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Olvasta?

Tipp

Időrendben

« Június 2025 »
H K Sze Cs P Szo V
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            

Tartalom galéria

Levált a Generali-torony tetején lévő nagy méretű reklámfelirat

Levált a Generali-torony tetején lévő nagy méretű reklámfelirat

More details
BREEAM „Very Good” minősítést szerzett a Liget Center Vitrum

BREEAM „Very Good” minősítést szerzett a Liget Center Vitrum

More details
Vessük bele magunkat a medenceszezonba!

Vessük bele magunkat a medenceszezonba!

More details
Közép- és Kelet-Európa belép az MI-tehetségekért folytatott versenybe

Közép- és Kelet-Európa belép az MI-tehetségekért folytatott versenybe

More details
Égető problémákra hívta fel a figyelmet a spanyolországi áramszünet

Égető problémákra hívta fel a figyelmet a spanyolországi áramszünet

More details
Elfogadta az Országgyűlés az új adószabályokat: változások nem csak 2026-ra, de már az idei évre is!

Elfogadta az Országgyűlés az új adószabályokat: változások nem csak 2026-ra, de már az idei évre is!

More details
Változások küszöbén az európai szállodaipar

Változások küszöbén az európai szállodaipar

More details
Környezetbarát, magyar fejlesztésű drónnal tisztították meg a Müpa homlokzatát

Környezetbarát, magyar fejlesztésű drónnal tisztították meg a Müpa homlokzatát

More details
A Colliers Romániát bízták meg bevásárlóközpontok újrapozicionálásával

A Colliers Romániát bízták meg bevásárlóközpontok újrapozicionálásával

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője