Adobe korjaa "napsauttamalla" Flaw

Adobe Systems on julkaissut uuden version sen Flash Player -ohjelmistosta, joka korjaa kriittisen tietoturva-bugin, joka saattaa tehdä Internetistä vaarallisen paikan surffaajille.

Uusi Flash Player 10 -ohjelmisto, joka julkaistiin keskiviikkona, korjaa Adoben multimediasovelluksen tietoturva-aukkoja, mukaan lukien virheet, jotka voivat sallia hakkereiden vetää pois mitä tunnetaan napsauttamalla hyökkäyksenä, kirjoitti Adobe-tiedottaja David Lenoe blogikirjoituksesta.

Niille, jotka eivät voi päivittää Flash-versiota, Flash 9 -turvalippu on vielä noin kuukausi pois, hän lisäsi.

Vaikka rikolliset eivät ole laajalti käyttäneet sitä, clickjacking on saanut paljon huomiota, koska siitä keskusteltiin ensimmäisen kerran kuukaudessa sitten. Flash ei ole ainoa ohjelmisto, joka on alttiina napsauttamalla hyökkäys, mutta flash-iskuja on pidetty kaikkein vaarallisimpina.

Ongelmia selvittäneet tietoturvatutkijat, Robert Hansen ja Jeremiah Grossman, olivat halunneet keskustella täysin napsautuksesta 24. syyskuuta turvallisuuskonferenssin esittely. Mutta he tukkivat ja antoivat pienemmän version keskusteluistaan, kun Adobe pyysi lisäämään ohjelmistonsa korjaamista.

Viime viikolla kuitenkin tietoturva-tutkija Guy Aharonovsky osoitti, miten Adobe Flashin klikkauskohtainen hyökkäys toimisi. Hansen ja Grossman julkistivat nyt tiedonsa.

Klikkauksen hyökkäyksessä hakkeri käyttää erilaisia ​​tekniikoita, joilla hallitaan, mitä uhriyhteyttä todella napsauttaa. Esimerkiksi hyökkääjä joutuisi uhkailemaan ensin vahingollisen verkkosivun käymiseen ja napsauttamalla sitä, mikä näytti olevan säännöllinen Web-linkki. Todellisuudessa uhri napsautti jotain aivan muuta, kuten Flash-esinettä, joka käynnisti mikrofoni. "Käyttäjän on lähes mahdotonta selvittää, mitä tapahtuu, kun he napsauttavat linkkiä", sanoi SecTheory.orgin toimitusjohtaja Hansen, viime viikolla haastattelussa.

Clickjacker voisi haastaa uhrien tietokoneita, pakottaa heitä verkkokauppojen suorittamiseen, blogisivujen poistamiseen, reitittimen tai palomuurikokoonpanon muuttamiseen, uusien web-sähköpostitilien luomiseen tai jopa pakottamaan heitä lataamaan ohjelmistoja, Hansen sanoi.

Koska napsauttaminen vaikuttaa muihin selaimen laajennuksiin, paras tapa korjata napsauttamalla ongelma voi olla se, miten selaimet toimivat, Hansen sanoi. "Selaimen päättäjät ymmärtävät ongelman ja yrittävät löytää tapoja lieventää sitä", hän sanoi.