2025. június 2., hétfő - Anita, Kármen

Súlyos sebezhetőséget találtak a böngészőkben

2008-09-30 703
A hibát jó előre bejelentették, részleteket viszont nem hoznak nyilvánosságra addig, amíg nincs legalább egy patch.A sebezhetőségek egy új típusát fedezték fel nemrég biztonsági szakemberek. A „clickjacking” néven emlegetett támadásról egyelőre nem sokat tudni, csupán azt, hogy a népszerû böngészők...

 ...mindegyikén mûködik. A módszert egy múlt heti szakkonferencián, az OWASP NYC AppSec 2008-on tervezte bemutatni két szakértő, Robert „RSnake” Hansen és Jeremiah Grossman, de az egyik érintett cég, az Adobe kérésére végül lemondtak a részletek közzétételéről mindaddig, amíg el nem készül a hibát javító patch.

Amint Hansen a Computerworld-nek elmondta: a clickjacking hasonló az ún. CSRF (cross-site request forgery) támadáshoz – amely a weboldal felhasználó iránti bizalmára épül és hamis HTTP-kéréseket használ –, de mégis különbözik attól annyira, hogy a jelenlegi CSRF-ellenes védelmi megoldások nem mûködnek ellene.

„Gondoljunk azokra a gombokra, amelyek egy weboldalon megjelenhetnek. Ilyeneket használunk a banki átutalásoknál, de ilyenek a Digg gombjai vagy a reklámbannerek stb. A lista gyakorlatilag végtelen, és ezek relatíve ártalmatlan példák. Utána gondoljunk egy olyan támadásra, amely ezeket a gombokat láthatatlanul képes a felhasználó egérmutatója alá tenni, hogy amikor az rákattintana arra, amit lát, valójában arra kattintson, amit a támadó helyezett el az oldalon” – próbálta megvilágítani az attak mûködését a másik előadó, Jeremiah Grossman. Ráadásul a támadás kivitelezéséhez nem is kell feltörni a kérdéses szájtokat.

A sebezhetőséget csak a böngészők patchelésével lehet megszüntetni – állítja a páros. A Microsofttal, a Mozillával és az Apple-lel már fel is vették a kapcsolatot, de azt egyelőre nem tudni, hogy a cégek mennyire veszik komolyan a hibát, és mennyire sietnek annak befoltozásával. Jelen pillanatban a legjobb védelmet a clickjacking ellen a NoScript kiegészítővel ellátott Firefox jelenti – Hansen szerint ez a támadások 99,99 százaléka ellen megvéd –, ez viszont csak profibb felhasználóknak ajánlott.

Hansen és Grossman példakódokkal együtt közzé fogja tenni a részleteket, amint az Adobe elkészül a saját patchével. Azt sem a sebezhetőséget felfedező szakértők, sem a szoftvercég nem árulta el, hogy melyik Adobe-terméket érinti a hiba, de jó eséllyel gyanítható, hogy az internetes oldalakon széles körben használt Flashről van szó.

(Forrás: www.itcafe.hu)

Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Olvasta?

Tipp

Időrendben

« Június 2025 »
H K Sze Cs P Szo V
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            

Tartalom galéria

Kutatás: a dolgozók visszatérnének, de már nem bármilyen irodába

Kutatás: a dolgozók visszatérnének, de már nem bármilyen irodába

More details
Hétvégi tippek, kulturális programajánló

Hétvégi tippek, kulturális programajánló

More details
Ki kapja majd az uniós pénzeket az EU költségvetéséből? - 2025. június 11.

Ki kapja majd az uniós pénzeket az EU költségvetéséből? - 2025. június 11.

More details
Kelet - magyarországi Gazdasági Fórum, 2025. június 4.

Kelet - magyarországi Gazdasági Fórum, 2025. június 4.

More details
Terjed a fauxductivity jelenség a fiatalok között! De mi is az?

Terjed a fauxductivity jelenség a fiatalok között! De mi is az?

More details
Kecskeméti Animációs Filmfesztivál, 2025. május 27. - június 1.

Kecskeméti Animációs Filmfesztivál, 2025. május 27. - június 1.

More details
Zsigmond Vilmos Nemzetközi Filmfesztivál, 2025. május 27-31.

Zsigmond Vilmos Nemzetközi Filmfesztivál, 2025. május 27-31.

More details
Friss Hús Nemzetközi Rövidfilmfesztivál, 2025. május 29. - június 4.

Friss Hús Nemzetközi Rövidfilmfesztivál, 2025. május 29. - június 4.

More details
Blockchain és kriptovaluta a kereskedelmi ingatlanbefektetések területén

Blockchain és kriptovaluta a kereskedelmi ingatlanbefektetések területén

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője