Üzleti hírszerzés - Súlyos sebezhetőséget találtak a böngészőkben

Súlyos sebezhetőséget találtak a böngészőkben

Hírfigyelő 2008-09-30 706

A hibát jó előre bejelentették, részleteket viszont nem hoznak nyilvánosságra addig, amíg nincs legalább egy patch.A sebezhetőségek egy új típusát fedezték fel nemrég biztonsági szakemberek. A „clickjacking” néven emlegetett támadásról egyelőre nem sokat tudni, csupán azt, hogy a népszerû böngészők...

...mindegyikén mûködik. A módszert egy múlt heti szakkonferencián, az OWASP NYC AppSec 2008-on tervezte bemutatni két szakértő, Robert „RSnake” Hansen és Jeremiah Grossman, de az egyik érintett cég, az Adobe kérésére végül lemondtak a részletek közzétételéről mindaddig, amíg el nem készül a hibát javító patch.

Amint Hansen a Computerworld-nek elmondta: a clickjacking hasonló az ún. CSRF (cross-site request forgery) támadáshoz – amely a weboldal felhasználó iránti bizalmára épül és hamis HTTP-kéréseket használ –, de mégis különbözik attól annyira, hogy a jelenlegi CSRF-ellenes védelmi megoldások nem mûködnek ellene.

„Gondoljunk azokra a gombokra, amelyek egy weboldalon megjelenhetnek. Ilyeneket használunk a banki átutalásoknál, de ilyenek a Digg gombjai vagy a reklámbannerek stb. A lista gyakorlatilag végtelen, és ezek relatíve ártalmatlan példák. Utána gondoljunk egy olyan támadásra, amely ezeket a gombokat láthatatlanul képes a felhasználó egérmutatója alá tenni, hogy amikor az rákattintana arra, amit lát, valójában arra kattintson, amit a támadó helyezett el az oldalon” – próbálta megvilágítani az attak mûködését a másik előadó, Jeremiah Grossman. Ráadásul a támadás kivitelezéséhez nem is kell feltörni a kérdéses szájtokat.

A sebezhetőséget csak a böngészők patchelésével lehet megszüntetni – állítja a páros. A Microsofttal, a Mozillával és az Apple-lel már fel is vették a kapcsolatot, de azt egyelőre nem tudni, hogy a cégek mennyire veszik komolyan a hibát, és mennyire sietnek annak befoltozásával. Jelen pillanatban a legjobb védelmet a clickjacking ellen a NoScript kiegészítővel ellátott Firefox jelenti – Hansen szerint ez a támadások 99,99 százaléka ellen megvéd –, ez viszont csak profibb felhasználóknak ajánlott.

Hansen és Grossman példakódokkal együtt közzé fogja tenni a részleteket, amint az Adobe elkészül a saját patchével. Azt sem a sebezhetőséget felfedező szakértők, sem a szoftvercég nem árulta el, hogy melyik Adobe-terméket érinti a hiba, de jó eséllyel gyanítható, hogy az internetes oldalakon széles körben használt Flashről van szó.

(Forrás: www.itcafe.hu)

Betűméret Betűméret csökkentése Betűméret növelése
Kinyomtatom
Elküldöm

Utoljára frissítve: 2008-09-30

Értékelés:

(0 szavazat)

Kategória: IT-biztonság

Címkék:

Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.