Описание новой крупной сетевой атаки, которая может затронуть миллионы
пользователей, не увидит свет на следующей неделе, как планировали разработавшие
её эксперты. Они дали свое согласие отложить публикацию до того момента, пока
Adobe не выпустит патч, закрывающий обнаруженную уязвимость.
Роберт "RSnake" Хансен и Еремия Гроссман, широко известные специалисты в
области сетевой безопасности, вчера поздно вечером отменили презентацию доклада
"New 0-Day Browser Exploits: Clickjacking - yea, this is bad", который они
хотели представить на конференции по безопасности OWASP USA в Нью-Йорке. Это
было сделано по просьбе Adobe, для того, чтобы дать компании время на выпуск
патча для одного из приложений до того момента, когда метод взлома будет
опубликован.
Хансен и Гроссман на днях обнаружили уязвимость, которая может быть
использована для так называемого “клик-джекинга”. Уязвимость обнаружилась не
непосредственно в приложении Adobe, а сразу во многих браузерах, включая
браузеры от Microsoft и Mozilla, и затрагивала приложения Adobe. И хотя эксперты
не вправе разглашать детали обнаруженной ими уязвимости, они говорят, что при
помощи клик-джекинга (атаки, при которой жертве предлагается кликнуть по ссылке)
можно инициировать и другие виды атак, такие как межсайтовый скриптинг (XSS),
SQL-инъекции и межсайтовая подделка запросов (CSRF).
Эксперты были очень удивлены тем фактом, что Adobe взяла на себя
ответственность за обнаруженную дыру в защите, хотя, по их мнению, сделать это
должны были разработчики браузеров, и согласились не придавать огласке
разработанный ими метод до тех пор, пока Adobe не найдет способ защитить своих
пользователей. По мнению одного из участников предстоящей конференции, эксперта
по безопасности Джошуа Перримона, найденная дыра в защите позволит хакерам
получить удаленный доступ к веб-камере, микрофону и рабочему столу пользователя,
если им удастся склонить его к посещению сайта, содержащего опасные файлы с
расширением .swf.