Clickjacking：最新的跨瀏覽器攻擊漏洞引起恐慌

安全專家們最近發出警告，一個最新發現的跨瀏覽器攻擊漏洞將帶來非常可怕的安全問題，該漏洞影響所有主流桌面平臺，包括，IE, Firefox, Safari, Opera 以及 Adobe Flash。

這個被稱為 Clickjacking 的安全威脅，原本要在 OWASP NYC AppSec 2008 大會上公佈，但包括 Adobe 在內的廠商請求暫時不要公開這個漏洞，直到他們開發出安全補丁。

發現這個漏洞的是兩個安全研究專家，Robert Hansen 與 Jeremiah Grossman，他們已經略透露了一點相關資訊以顯示該安全威脅的嚴重性。

Clickjacking 到底是什麼東西？

兩為研究專家說，他們所發現的絕非小問題，事實上，很嚴重，他們在透露這些資訊之前需要負起責任，這些問題一環套一環，至少已經有兩家廠商表示會提供補丁，但日期未定，我們目前只和有限的幾個廠家探討這個問題，所以，問題很嚴重。

根據那些在 OWASP 參加過半公開性演示的人透露，這個漏洞非常緊急，將影響到所有瀏覽器，而且它和 JavaScript 並沒有關係：

• 總的來說，當你訪問一個惡意網站的時候，攻擊者可以控制你的瀏覽器對一些連結的訪問，這個漏洞影響到幾乎所有瀏覽器，除非你使用 lynx 一類的字元瀏覽器。這個漏洞與 JavaScript 無關，即使你關閉瀏覽器的 JavaScript 功能也無能為力。事實上這是瀏覽器工作原理中的一個缺陷，無法通過簡單的補丁解決。一個惡意網站能讓你在毫不知情的情況下點選任意連結，任意按紐或網站上 任意東西。

如果這還不能讓你恐慌的話，想想這樣的情形，一個使用者在被攻擊的時候將毫不知情而且束手無策：

• 比如在 Ebay,因為可以嵌入 JavaScript，雖然攻擊並不需要 JavaScript，但可以讓攻擊更容易進行。只用 lynx 字元瀏覽器才能保護你自己，同時不要任何動態的東西。該漏洞用到 DHTML，使用防 frame 程式碼可以保護你不受跨站點攻擊，但攻擊者仍可以強迫你點選任何連結。你所做的任何點選都被引導到惡意連結上，所以，那些 Flash 遊戲將首當其衝。

據 Hansen 講，他們已經同微軟以及 Mozilla 談論過這個問題，然而他們均表示這是個非常棘手的問題，目前沒有簡單的解決辦法。

Grossman 確切表示，微軟最新的 IE8 和 Mozilla 最新的 Firefox 3 均不能倖免。

• 當前，唯一的辦法是禁用瀏覽器的指令碼和外掛功能。

更多閱讀

• Adobe Flash ads launching clipboard hijack attack
• Firefox + NoScript vs Clickjacking

本文國際來源：http://blogs.zdnet.com/security/?p=1972
中文翻譯來源：COMSHARP CMS 官方網站