金山发布 Adobe Flash Player Clickjacking 问题专用修补工具

无情

最近关于 Clickjacking 的新闻不少，因为其影响范围实在是太大了，所以不可忽视。Adobe官方于昨日也发布了一个可以修复此问题的临时解决方案。
金山清理专家第一时间跟进并且推出了修补工具和关于 Clickjacking 的专题，在Adobe官方没有正式发布解决问题的新的Flash Player版本之前，大家可以先临时使用此工具进行修复。


金山清理专家将继续高度关注此问题，如果Adobe或者是其他浏览器厂商推出解决方案，金山清理专家都会在第一时间将解决方案推送给大家，欢迎大家经常使用清理专家扫描和修补漏洞，保障系统安全稳定运行。

专补工具下载地址：
http://down.www.kingsoft.com/db/ ... ClickjackingFix.exe

金山官网关于 Clickjacking 的专题：
http://www.duba.net/zt/adobe/

金山毒霸博客关于 Clickjacking 的一篇很好的科普帖：
http://blog.duba.net/read.php?18

金山毒霸论坛讨论帖（包含详细解决方案及Adobe官方发表文章的译文）：
http://bbs.duba.net/thread-21982324-1-1.html

网路游侠

　　一、Clickjacking相关资料

　　继GDI＋图片漏洞之后，又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞，黑客可以控制用户的浏览器，在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用\"clickjacking\"控制<strong>摄像头和麦克风</strong>，并可以进一步利用病毒木马，盗取用户网银，游戏帐户，QQ帐户等用户虚拟财产或者控制用户摄像头偷窥用户隐私……

　　1、影响范围：所有主流的桌面平台，包括IE、Firefox、Safari、Opera以及AdobeFlash。

　　2、相关的情景假设：

　　（1）当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript无关，即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按纽或网站上任意东西。

　　（2）比如在Ebay，因为可以嵌入JavaScript，虽然攻击并不需要JavaScript，但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己，同时不要任何动态的东西。该漏洞用到DHTML，使用防frame代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些Flash游戏将首当其冲。

　　二、黑客藉此漏洞的攻击原型

　　黑客通过flash小游戏来控制用户的摄像头和麦克风

　　http://news.duba.net/contents/2008-10/10/4233.html

　　三、Adobe对于Clickjacking漏洞首度作出回应

　　虽然此漏洞在更早前的时候就已经被发现，并且预计要在OWASPNYCAppSec2008大会上公布，但是由于此漏洞的影响很大，相关厂商请求暂时不要公开此漏洞，直到他们开发出相应的安全补丁。

　　10月9日，Adobe首度对于Clickjacking漏洞作出回应，在其安全公告栏上第一次提及此事，表示Clickjacking漏洞影响到AdobeFlash9.0.124.0之前的所有版本。同时他们发布了暂时的解决方案。

　　四、金山解决方案

　　针对Adobe公司发布的解决方案，金山漏洞修复发出专补工具。

　　金山专补工具下载地址：http://down.[url]www.kingsoft.com/db/download/othertools/ClickjackingFix.exe[/url]

　　备注：由于本次仅发放了Adobe一家公司的解决方案，各浏览器厂家还没有回应此事，可以请用户随时关注金山清理专家发出的安全公告一类的事。

　　五、其他相关文档

　　Adobe网站的官方公告：http://www.adobe.com/support/security/advisories/apsa08-08.html

无情

这个漏洞被大量应用于偷拍……

无情

没打补丁的赶快打好补丁吧   小心明天你在下载小电影的时候看到你自己是主角了

网路游侠

哈哈 是啊

将有一批“陈冠希”出现

fookguo

没想到我们公司还有这种东西啊，嘎嘎