[北京網(wǎng)站制作]Adobe再曝Flash重要漏洞 可偷控?cái)z像頭
Adobe再曝Flash重要漏洞 可偷控?cái)z像頭
10月20日早間消息,Adobe公司正在修復(fù)一個(gè)Flash相關(guān)的漏洞,該漏洞可以被利用暗中打開訪客的麥克風(fēng)和攝像頭。
“該問題在Adobe服務(wù)器的Flash播放器設(shè)置管理器中”,Adobe的發(fā)言人Wiebke Lips表示。“工程師正在加緊漏洞修復(fù)工作”,Lips在e-mail中表示,“注意的是該漏洞不會(huì)涉及或需要產(chǎn)品更新,可被在線在服務(wù)器端修復(fù)。QA工作完成后將馬上發(fā)布。”
預(yù)計(jì)該漏洞會(huì)在本周末被修復(fù)完畢。
該漏洞是由斯坦福大學(xué)計(jì)算機(jī)系的學(xué)生Aboukhadiieh發(fā)現(xiàn),并在昨天的博客中公布,且包含一段視頻片段。該攻擊使用一種叫“clickjacking”的點(diǎn)擊劫持方式,隱藏Flash設(shè)置管理器SWF文件在頁面iFrame的后面,這樣可以繞過framebusting JS代碼。(北京網(wǎng)站制作)
該漏洞攻擊曾在2008年出現(xiàn)過。附來自Znet的早期報(bào)道:
安全專家們最近發(fā)出警告,一個(gè)最新發(fā)現(xiàn)的跨瀏覽器攻擊漏洞將帶來非??膳碌陌踩珕栴},該漏洞影響所有主流桌面平臺(tái),包括,IE, Firefox, Safari, Opera以及AdobeFlash。這個(gè)被稱為Clickjacking的安全威脅,原本要在OWASP NYC AppSec 2008大會(huì)上公布,但包括Adobe在內(nèi)的廠商請(qǐng)求暫時(shí)不要公開這個(gè)漏洞,直到他們開發(fā)出安全補(bǔ)丁。
發(fā)現(xiàn)這個(gè)漏洞的是兩個(gè)安全研究專家,Robert Hansen 與 Jeremiah Grossman,他們已經(jīng)略透露了一點(diǎn)相關(guān)信息以顯示該安全威脅的嚴(yán)重性。
Clickjacking到底是什么東西?
兩為研究專家說,他們所發(fā)現(xiàn)的絕非小問題,事實(shí)上,很嚴(yán)重,他們?cè)谕嘎哆@些信息之前需要負(fù)起責(zé)任,這些問題一環(huán)套一環(huán),至少已經(jīng)有兩家廠商表示會(huì)提供補(bǔ)丁,但日期未定,我們目前只和有限的幾個(gè)廠家探討這個(gè)問題,所以,問題很嚴(yán)重。
根據(jù)那些在OWASP參加過半公開性演示的人透露,這個(gè)漏洞非常緊急,將影響到所有瀏覽器,而且它和JavaScript并沒有關(guān)系:
總的來說,當(dāng)你訪問一個(gè)惡意網(wǎng)站的時(shí)候,攻擊者可以控制你的瀏覽器對(duì)一些鏈接的訪問,這個(gè)漏洞影響到幾乎所有瀏覽器,除非你使用lynx一類的字符瀏覽器。這個(gè)漏洞與JavaScript無關(guān),即使你關(guān)閉瀏覽器的JavaScript功能也無能為力。事實(shí)上這是瀏覽器工作原理中的一個(gè)缺陷,無法通過簡單的補(bǔ)丁解決。一個(gè)惡意網(wǎng)站能讓你在毫不知情的情況下點(diǎn)擊任意鏈接,任意按紐或網(wǎng)站上任意東西。
如果這還不能讓你恐慌的話,想想這樣的情形,一個(gè)用戶在被攻擊的時(shí)候?qū)⒑敛恢槎沂譄o策:
比如在Ebay,因?yàn)榭梢郧度隞avaScript,雖然攻擊并不需要JavaScript,但可以讓攻擊更容易進(jìn)行。只用lynx字符瀏覽器才能保護(hù)你自己,同時(shí)不要任何動(dòng)態(tài)的東西。該漏洞用到DHTML,使用防frame代碼可以保護(hù)你不受跨站點(diǎn)攻擊,但攻擊者仍可以強(qiáng)迫你點(diǎn)擊任何鏈接。你所做的任何點(diǎn)擊都被引導(dǎo)到惡意鏈接上,所以,那些Flash游戲?qū)⑹桩?dāng)其沖。據(jù)Hansen講,他們已經(jīng)同微軟以及Mozilla談?wù)撨^這個(gè)問題,然而他們均表示這是個(gè)非常棘手的問題,目前沒有簡單的解決辦法。
標(biāo)簽:北京網(wǎng)站制作 高端網(wǎng)站建設(shè)
建站流程
-
網(wǎng)站需求
-
網(wǎng)站策劃方案
-
頁面設(shè)計(jì)風(fēng)格
-
確認(rèn)交付使用
-
資料錄入優(yōu)化
-
程序設(shè)計(jì)開發(fā)
-
后續(xù)跟蹤服務(wù)
-
聯(lián)系電話
010-60259772
熱門標(biāo)簽
- 網(wǎng)站建設(shè)
- 食品網(wǎng)站建設(shè)
- 微信小程序開發(fā)
- 小程序開發(fā)
- 無錫網(wǎng)站建設(shè)
- 研究所網(wǎng)站建設(shè)
- 沈陽網(wǎng)站建設(shè)
- 廊坊網(wǎng)站建設(shè)
- 鄭州網(wǎng)站建設(shè)
- 婚紗攝影網(wǎng)站建設(shè)
- 手機(jī)端網(wǎng)站建設(shè)
- 高校網(wǎng)站制作
- 天津網(wǎng)站建設(shè)
- 教育網(wǎng)站建設(shè)
- 品牌網(wǎng)站建設(shè)
- 政府網(wǎng)站建設(shè)
- 北京網(wǎng)站建設(shè)
- 網(wǎng)站設(shè)計(jì)
- 網(wǎng)站制作
最新文章
推薦新聞
更多行業(yè)-
seo網(wǎng)站優(yōu)化內(nèi)鏈、外鏈的方法
北京網(wǎng)站建設(shè)公司尚品中國最近分析了一些網(wǎng)站,發(fā)現(xiàn)他們的排名上去的很快,...
2012-02-09 -
企業(yè)網(wǎng)站建設(shè)項(xiàng)目有哪些規(guī)范和技術(shù)標(biāo)準(zhǔn)
現(xiàn)在互聯(lián)網(wǎng)時(shí)代,網(wǎng)站建設(shè)越來越重要,行業(yè)必須規(guī)范。無論什么樣的行業(yè),都...
2020-10-14 -
建設(shè)旅游類型的網(wǎng)站要側(cè)重于哪些設(shè)計(jì)點(diǎn)
為了了解一家公司或找到一種產(chǎn)品,我們通常直接去它的網(wǎng)站查看信息。網(wǎng)站制...
2020-03-27 -
SEO網(wǎng)站優(yōu)化賺錢在當(dāng)下
SEO網(wǎng)站優(yōu)化賺錢在當(dāng)下下邊是一個(gè)站長朋友的自述。是他在痛苦中的反思,...
2011-12-05 -
網(wǎng)站制作時(shí)需要掌握了解的五種技術(shù)
當(dāng)我們剛剛接手一個(gè)新網(wǎng)站,那么如何對(duì)這個(gè)新站做SEO網(wǎng)站優(yōu)化,是我們這...
2012-11-21 -
專訪富海人才網(wǎng):從零開始腳踏實(shí)地 堅(jiān)持就會(huì)有收獲
大家好今天我們邀請(qǐng)到的是富海人才網(wǎng)的總經(jīng)理陳胤君。富海人才開發(fā)有限公...
2017-12-19
預(yù)約專業(yè)咨詢顧問溝通!
免責(zé)聲明
非常感謝您訪問我們的網(wǎng)站。在您使用本網(wǎng)站之前,請(qǐng)您仔細(xì)閱讀本聲明的所有條款。
1、本站部分內(nèi)容來源自網(wǎng)絡(luò),涉及到的部分文章和圖片版權(quán)屬于原作者,本站轉(zhuǎn)載僅供大家學(xué)習(xí)和交流,切勿用于任何商業(yè)活動(dòng)。
2、本站不承擔(dān)用戶因使用這些資源對(duì)自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關(guān)法律法規(guī),當(dāng)本聲明與國家法律法規(guī)沖突時(shí),以國家法律法規(guī)為準(zhǔn)。
4、如果侵害了您的合法權(quán)益,請(qǐng)您及時(shí)與我們,我們會(huì)在第一時(shí)間刪除相關(guān)內(nèi)容!
聯(lián)系方式:010-60259772
電子郵件:394588593@qq.com