[安全]立即修补Flash强制启动视频漏洞
来源:不详 责任编辑:栏目编辑 发表时间:2013-07-01 08:08 点击:次
近日,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,攻击者可以制作一个精美的钓鱼网页,让用户在不知不觉中被控制摄像头,或完成密码修改、网银转帐等的恶意操作,给用户造成巨大的损失。
Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:
当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器。
这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按钮或网站上的任意东西。
该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。最近国外的安全研究人员已经放出了该漏洞的攻击例子,以及部分细节,这种攻击是利用的CSS样式表的网页渲染功能配合IFRAME帧框架页进行的一种钓鱼网页攻击。
由于AdobeFlashPlayer软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。360安全中心紧急开发了针对该漏洞的专用修补工具,具体的处理方法如下:
1、下载使用“Flash强制启动视频”漏洞工具。
360flashvfix.rar (129.45 KB)
360flashvfix.rar (129.45 KB)
下载次数: 0
2008-10-16 08:30
2、经常使用360安全卫士修复系统及第三方软件漏洞。
3、开启360安全卫士的“网页防漏及恶意网站拦截”功能,及时拦截可能存在风险的网页。
Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:
当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器。
这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按钮或网站上的任意东西。
该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。最近国外的安全研究人员已经放出了该漏洞的攻击例子,以及部分细节,这种攻击是利用的CSS样式表的网页渲染功能配合IFRAME帧框架页进行的一种钓鱼网页攻击。
由于AdobeFlashPlayer软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。360安全中心紧急开发了针对该漏洞的专用修补工具,具体的处理方法如下:
1、下载使用“Flash强制启动视频”漏洞工具。
360flashvfix.rar (129.45 KB)
360flashvfix.rar (129.45 KB)下载次数: 0
2008-10-16 08:30
1.jpg (27.21 KB)
2008-10-16 08:30
2、经常使用360安全卫士修复系统及第三方软件漏洞。
3、开启360安全卫士的“网页防漏及恶意网站拦截”功能,及时拦截可能存在风险的网页。
相关新闻>>
最新推荐更多>>>
- 发表评论
-
- 最新评论 更多>>