Clickjack - thêm một nguy cơ cho người dùng web

Kiểu tấn công mới này xảy ra trên mọi trình duyệt từ Internet Explorer, Firefox, Opera, Safari cho đến bản gần đây nhất Google Chrome. Microsoft và Mozilla cùng thừa nhận không dễ có giải pháp khắc phục cho vấn đề nghiêm trọng này.

"Khi bạn vô tình truy cập vào trang web nguy hiểm (có hình thức hoàn toàn vô hại), kẻ xấu sẽ khiến bạn bấm vào một link, phím hoặc một vị trí bất kỳ trên trang mà bạn còn không nhận thấy điều gì đang diễn ra", Jeremiah Grossman, Giám đốc thông tin của hãng bảo mật WhiteHat Security (Mỹ), mô tả. "Sau đó, trang này sẽ biết mọi hoạt động trên Internet của bạn như bạn vào website nào, đăng nhập thông tin gì, xem gì trên YouTube, thậm chí khống chế cả webcam và tai nghe".

Thủ thuật này không liên quan đến JavaScript mà dựa trên cách thức hoạt động của trình duyệt, do đó tắt JavaScript trong trình duyệt là vô ích. Ngày 7/10, Guy Aharonovsky, chuyên gia phát triển Flash, tung ra đoạn mã khai thác dạng mẫu (proof-of-concept) nhằm chứng minh mức độ nguy hiểm của clickjack.

Các chuyên gia bảo mật đã dự định công bố lỗi này từ tháng trước nhưng một số nhà cung cấp đã yêu cầu hoãn lại cho đến khi họ cập nhật xong phần mềm. Adobe đang nâng cấp Flash Player, tuy nhiên sẽ chỉ có thể ngăn chặn được những cuộc khai thác clickjack sử dụng chương trình này trong khi nhiều ứng dụng khác vẫn tồn tại lỗi.

Thứ Năm, 09/10/2008 11:53
31 👨 323
0 Bình luận
Sắp xếp theo