跨浏览器攻击漏洞 可远程控制摄像头

今天(10月9日)，Adobe在安全公告栏上第一次提及"clickjacking"，本次漏洞影响9.0.124.0之前的所有版本，同时他们发表了暂时的解决方案。

　　据悉，9月26日,安全人员已经透露了这个严重的"clickjacking"跨浏览器攻击漏洞，该漏洞影响所有主流桌面平台，包括，IE, Firefox, Safari, Opera 以及 Adobe Flash。这个被称为 Clickjacking 的安全威胁，原本要在 OWASP NYC AppSec 2008 大会上公布，但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞，直到他们开发出安全补丁。

　　发现这个漏洞的是两个安全研究专家，Robert Hansen 与 Jeremiah Grossman，他们已经略透露了一点相关信息以显示该安全威胁的严重性。

　　黑客利用"clickjacking"控制摄像头和麦克风

　　日前在黑客的Blog里透露了可以利用"clickjacking"这个漏洞远程控制你的摄像头和麦克风，主要原理是通过javascript在网页中执行一个简单的Flash游戏，骗取用户点击这个游戏，而每点击一次，都会被引导到恶意链接上，在这个过程中你自己完全不会察觉。直到你的摄像头和麦克风都被黑客控制，然后你的一切都会被黑客看到。

        下面是黑客录下了一段视频，这段视频本身是不含恶意程序的，这一点各位完全可以放心。视频主要讲述的是黑客攻击的实现过程。

　　可以看出，当你打开网页时，出现了一个很诱人的游戏，你忍不住去点击、点击、再点击，到最后，你的摄像头和麦克风就被控制了，非常强大。

　　Clickjacking 到底是什么东西?

　　总的来说，当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你使用 lynx 一类的字符浏览器。这个漏洞与 JavaScript 无关，即使你关闭浏览器的 JavaScript 功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按纽或网站上 任意东西。

　　如果这还不能让你恐慌的话，想想这样的情形，一个用户在被攻击的时候将毫不知情而且束手无策：

　　比如在 Ebay,因为可以嵌入 JavaScript，虽然攻击并不需要 JavaScript，但可以让攻击更容易进行。只用 lynx 字符浏览器才能保护你自己，同时不要任何动态的东西。该漏洞用到 DHTML，使用防 frame 代码可以保护你不受跨站点攻击，但攻击者仍可以强迫 你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些 Flash 游戏将首当其冲。

　　目前没有简单的解决办法

　　据 Hansen 讲，他们已经同微软以及 Mozilla 谈论过这个问题，然而他们均表示这是个非常棘手的问题，目前没有简单的解决办法。

　　Grossman 确切表示，微软最新的 IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。

　　当前，唯一的办法是禁用浏览器的脚本和插件功能。

　　专家建议：浏览网页时屏蔽所有的flash

　　凡是Flash Player 9.0.124.0之前的都是脆弱并易受攻击的，安全专家建议用户在浏览网页时，设置屏蔽所有的flash，当网页中有Flash元素时就会被自动屏蔽，这样就会相对安全一些，或者就干脆用lynx这样的字符浏览器，但是大多数人认为这根本不是可行的办法。