Kliknięcie w lukę w Adobe Fixes" Wada

Firma Adobe Systems opublikowała nową wersję oprogramowania Flash Player, naprawiającego krytyczny błąd bezpieczeństwa, który może sprawić, że Internet stanie się niebezpiecznym miejscem dla internautów.

Nowe oprogramowanie Flash Player 10, wydane w środę, naprawia luki bezpieczeństwa w oprogramowaniu multimedialnym Adobe, w tym błędy, które mogą umożliwić hakerom ściągnij atak znany jako atak typu "clickjacking", napisał rzecznik firmy Adobe, David Lenoe, w poście na blogu.

Dla tych, którzy nie mogą zaktualizować tej nowej wersji Flasha, łatka bezpieczeństwa związana z Flash 9 jest nadal o miesiąc wyłączona, dodał. Adobe ocenia błąd kliknięcia jako "krytyczny".

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z Windows]

Chociaż nie jest powszechnie stosowany przez przestępców, to przyciąga uwagę wiele razy, ponieważ po raz pierwszy omawiano je w miesiącu temu. Flash nie jest jedynym oprogramowaniem narażonym na atak typu "clickjacking", ale ataki Flash są uważane za najbardziej niebezpieczne.

Naukowcy zajmujący się bezpieczeństwem, którzy odkryli problem, Robert Hansen i Jeremiah Grossman, zamierzali w pełni przedyskutować kliknięcie prezentacja konferencji bezpieczeństwa z 24 września. Ale wycofali się i wydali zubożoną wersję swojej rozmowy, kiedy Adobe poprosił o więcej czasu na poprawienie swojego oprogramowania.

Jednak w ubiegłym tygodniu analityk ds. Bezpieczeństwa Guy Aharonovsky pokazał, jak działa atak typu "clickjacking" Adobe Flash, a także informacje na bieżąco, Hansen i Grossman ujawnili swoje odkrycia.

W wyniku ataku typu "clickjacking", hakerzy używają różnych technik, aby przejąć kontrolę nad tym, co łączy ofiarę. Na przykład w jednym ataku, osoba atakująca musi najpierw oszukać ofiarę, odwiedzając złośliwą stronę sieci Web, a następnie klikając coś, co wyglądało na zwykły link internetowy. W rzeczywistości ofiara klikałaby na coś zupełnie innego, na przykład obiekt Flasha, który włączał swój mikrofon. "Niemożliwe jest, aby użytkownik ustalił, co się stanie, gdy kliknie link", powiedział w zeszłym tygodniu Hansen, który jest dyrektorem generalnym SecTheory.org.

Clickjacker może podsłuchiwać komputery ofiar, ich do wykonywania transakcji giełdowych online, usuwania stron blogów, zmiany konfiguracji routera lub zapory ogniowej, tworzenia nowych kont poczty internetowej, a nawet zmuszania ich do pobierania oprogramowania, powiedział Hansen.

Ponieważ clickjacking wpływa na inne wtyczki przeglądarki, najlepszym sposobem naprawy problemem z klikaniem może być zmiana sposobu działania przeglądarek, powiedział Hansen. "Twórcy przeglądarek rozumieją problem i próbują znaleźć sposoby na jego złagodzenie" - powiedział.