Poważne zagrożenie dla przeglądarek internetowych

Poważne zagrożenie dla przeglądarek internetowych27.09.2008 00:23
Grzegorz Niemirowski

Jeremiah Grossmanoraz Robert "Rsnake" Hansen odkryli poważny problemw bezpieczeństwie współczesnych przeglądarek. Informacje na jegotemat zamierzali przedstawić w ramach Open Web Application SecurityProject (OWASP) w Nowym Jorku, jednak odstąpili od tego na prośbęfirmy Adobe, której produktu także dotyczyła podatność. Opracowaną przez siebie technikę nazwali mianem clickjacking. Nazwabierze się z tego, że użytkownik klika nieświadomie na link, któryjest prawie niewidoczny lub pojawia się tylko na ułamek sekundy.Problem jest złożony i dotyczy wielu współczesnych przeglądarek,m.in. Firefox 2 i 3, wszystkich wersji IE, zapewne też Opery,Safari, Konquerora i innych. Wiadomo, że niepodatne są przeglądarkitekstowe, w tym najbardziej znane links i lynx. Nie wiadomo publicznie na czym polega clickjacking, jego odkrywcypoinformowali tylko niektórych producentów przeglądarek, m.in.Microsoft i Mozillę, którzy potwierdzili powagę problemu. Nie jestto bowiem typowa dziura i nie można zastosować prostegorozwiązania. Nie pomaga wyłączenie skryptów, ponieważ nie ma to nicwspólnego z JavaScriptem. Clickjacking wykorzystuje bowiem sposób,w jaki działają wszystkie popularne przeglądarki. Przydatne mogąbyć jednak takie dodatki jak NoScript, gdyż mogą one ograniczyćwiele scenariuszy ataku. Tak przynajmniej twierdzi autor tego rozszerzenia, który miałokazję poznać szczegóły na temat clickjackingu. Choć szczegółowe informacje na temat clickjackingu nie zostałyujawnione, na jednej ze stron można odnaleźć kilkaprzykładów będących próbą odgadnięcia jak taki atak mógłbywyglądać.

Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (46)