2025. június 3., kedd - Klotild

Súlyos sebezhetőséget találtak a böngészőkben

2008-09-30 706
A hibát jó előre bejelentették, részleteket viszont nem hoznak nyilvánosságra addig, amíg nincs legalább egy patch.A sebezhetőségek egy új típusát fedezték fel nemrég biztonsági szakemberek. A „clickjacking” néven emlegetett támadásról egyelőre nem sokat tudni, csupán azt, hogy a népszerû böngészők...

 ...mindegyikén mûködik. A módszert egy múlt heti szakkonferencián, az OWASP NYC AppSec 2008-on tervezte bemutatni két szakértő, Robert „RSnake” Hansen és Jeremiah Grossman, de az egyik érintett cég, az Adobe kérésére végül lemondtak a részletek közzétételéről mindaddig, amíg el nem készül a hibát javító patch.

Amint Hansen a Computerworld-nek elmondta: a clickjacking hasonló az ún. CSRF (cross-site request forgery) támadáshoz – amely a weboldal felhasználó iránti bizalmára épül és hamis HTTP-kéréseket használ –, de mégis különbözik attól annyira, hogy a jelenlegi CSRF-ellenes védelmi megoldások nem mûködnek ellene.

„Gondoljunk azokra a gombokra, amelyek egy weboldalon megjelenhetnek. Ilyeneket használunk a banki átutalásoknál, de ilyenek a Digg gombjai vagy a reklámbannerek stb. A lista gyakorlatilag végtelen, és ezek relatíve ártalmatlan példák. Utána gondoljunk egy olyan támadásra, amely ezeket a gombokat láthatatlanul képes a felhasználó egérmutatója alá tenni, hogy amikor az rákattintana arra, amit lát, valójában arra kattintson, amit a támadó helyezett el az oldalon” – próbálta megvilágítani az attak mûködését a másik előadó, Jeremiah Grossman. Ráadásul a támadás kivitelezéséhez nem is kell feltörni a kérdéses szájtokat.

A sebezhetőséget csak a böngészők patchelésével lehet megszüntetni – állítja a páros. A Microsofttal, a Mozillával és az Apple-lel már fel is vették a kapcsolatot, de azt egyelőre nem tudni, hogy a cégek mennyire veszik komolyan a hibát, és mennyire sietnek annak befoltozásával. Jelen pillanatban a legjobb védelmet a clickjacking ellen a NoScript kiegészítővel ellátott Firefox jelenti – Hansen szerint ez a támadások 99,99 százaléka ellen megvéd –, ez viszont csak profibb felhasználóknak ajánlott.

Hansen és Grossman példakódokkal együtt közzé fogja tenni a részleteket, amint az Adobe elkészül a saját patchével. Azt sem a sebezhetőséget felfedező szakértők, sem a szoftvercég nem árulta el, hogy melyik Adobe-terméket érinti a hiba, de jó eséllyel gyanítható, hogy az internetes oldalakon széles körben használt Flashről van szó.

(Forrás: www.itcafe.hu)

Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Olvasta?

Tipp

Időrendben

« Június 2025 »
H K Sze Cs P Szo V
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            

Tartalom galéria

Property Investment Forum, 2025. szeptember 23.

Property Investment Forum, 2025. szeptember 23.

More details
Az irodai tisztaság közös ügy, sokan mégsem így kezelik

Az irodai tisztaság közös ügy, sokan mégsem így kezelik

More details
Így takaríthatnak meg időt és pénzt a vállalkozások

Így takaríthatnak meg időt és pénzt a vállalkozások

More details
Egy innováció újraélesztheti a hagyományos építkezést

Egy innováció újraélesztheti a hagyományos építkezést

More details
Mol Campus öbölúszás, 2025. június 21.

Mol Campus öbölúszás, 2025. június 21.

More details
Oldtimer Show - USA Cars, 2025. június 15.

Oldtimer Show - USA Cars, 2025. június 15.

More details
Mozgás éjeszkája, 2025. június 13.

Mozgás éjeszkája, 2025. június 13.

More details
10. Budapest Sup Fesztivál, 2025. június 28.

10. Budapest Sup Fesztivál, 2025. június 28.

More details
Homloktetoválással követhet mostantól nyomon a főnököd

Homloktetoválással követhet mostantól nyomon a főnököd

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője