Adobe Fixes 'clickjacking' Flaw

Adobe Systems выпустила новую версию программного обеспечения Flash Player, исправляющего критическую ошибку безопасности, которая может сделать Интернет опасным местом для веб-серферов.

Новое программное обеспечение Flash Player 10, выпущенное в среду, устраняет недостатки безопасности в мультимедийном программном обеспечении Adobe, включая ошибки, которые могут позволить хакерам вытащить то, что известно как атака с помощью кликов, написал пресс-секретарь Adobe Дэвид Лено в блоге.

Для тех, кто не может обновить эту новую версию Flash, исправление для безопасности Flash 9 по-прежнему около месяца, добавил он, Adobe оценивает ошибку clickjacking как «критическую».

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Несмотря на то, что преступники не получили широкого распространения, clickjacking получил много внимания, так как он обсуждался в месяц тому назад. Flash - это не единственное программное обеспечение, которое уязвимо для атаки с помощью clickjacking, но Flash-атаки считаются одними из самых опасных.

Исследователи безопасности, которые обнаружили эту проблему, Роберт Хансен и Джеремия Гроссман, намеревались полностью обсудить clickjacking на презентация конференции по безопасности на 24 сентября. Но они отступили и дали исчерпывающую версию своего разговора, когда Adobe попросила больше времени на исправление своего программного обеспечения.

На прошлой неделе, однако, исследователь безопасности Гай Аароновский показал, как будет работать атака с щелчком мыши в Adobe Flash, а также информация теперь открыта, Хансен и Гроссман обнародовали свои выводы.

В нападении с кликирой хакеры используют различные методы, чтобы контролировать, какие ссылки жертва на самом деле щелкает. Например, в одной атаке злоумышленник сначала должен обмануть жертву, посетив вредоносную веб-страницу, а затем щелкнув по тому, что, как представляется, является обычной веб-ссылкой. На самом деле жертва будет нажимать на нечто совсем другое, например, объект Flash, который включил его микрофон. «Практически невозможно, чтобы пользователь определял, что произойдет, когда они нажмут на ссылку», - сказал Хансен, который является генеральным директором SecTheory.org, в интервью на прошлой неделе.

Clickjacker может перехватить компьютеры жертв, заставить Хансэн сказал, что для того, чтобы использовать онлайн-трейдинг, удалять страницы блога, изменять конфигурацию маршрутизатора или брандмауэра, создавать новые учетные записи электронной почты или даже принуждать их к загрузке программного обеспечения.

Поскольку clickjacking влияет на другие плагины браузера, лучший способ исправить проблема с кликнированием может заключаться в изменении способа работы браузеров, сказал Хансен. «Производители браузеров понимают проблему, и они пытаются найти способы смягчить ее», - сказал он.