Board logo

标题: 黑客通过flash小游戏来控制用户的摄像头和麦克风 [打印本页]

作者: ohmygodl    时间: 2008-10-14 12:11     标题: 黑客通过flash小游戏来控制用户的摄像头和麦克风

一、Clickjacking相关资料

  继GDI+图片漏洞之后,又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞,黑客可以控制用户的浏览器,在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用"clickjacking"控制<strong>摄像头和麦克风</strong>,并可以进一步利用病毒木马,盗取用户网银,游戏帐户,QQ帐户等用户虚拟财产或者控制用户摄像头偷窥用户隐私……

  1、影响范围:所有主流的桌面平台,包括IE、Firefox、Safari、Opera以及AdobeFlash。

  2、相关的情景假设:

  (1)当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器,除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上任意东西。

  (2)比如在Ebay,因为可以嵌入JavaScript,虽然攻击并不需要JavaScript,但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。

  二、黑客藉此漏洞的攻击原型

  黑客通过flash小游戏来控制用户的摄像头和麦克风

  http://news.duba.net/contents/2008-10/10/4233.html

  三、Adobe对于Clickjacking漏洞首度作出回应

  虽然此漏洞在更早前的时候就已经被发现,并且预计要在OWASPNYCAppSec2008大会上公布,但是由于此漏洞的影响很大,相关厂商请求暂时不要公开此漏洞,直到他们开发出相应的安全补丁。

  10月9日,Adobe首度对于Clickjacking漏洞作出回应,在其安全公告栏上第一次提及此事,表示Clickjacking漏洞影响到AdobeFlash9.0.124.0之前的所有版本。同时他们发布了暂时的解决方案。

  四、金山解决方案

  针对Adobe公司发布的解决方案,金山漏洞修复发出专补工具。

  金山专补工具下载地址:http://down.[url=www.kingsoft.com/db/download/othertools/ClickjackingFix.exe]www.kingsoft.com/db/download/othertools/ClickjackingFix.exe[/url]

  备注:由于本次仅发放了Adobe一家公司的解决方案,各浏览器厂家还没有回应此事,可以请用户随时关注金山清理专家发出的安全公告一类的事。

  五、其他相关文档

  Adobe网站的官方公告:http://www.adobe.com/support/security/advisories/apsa08-08.html


科技真发达啊。。。各位在家不喜欢穿衣服的MM们小心咯
作者: 蜡烛鞭三郎    时间: 2008-10-14 12:11

一句话
不视频的时候坺掉
作者: 喵喵の狗狗    时间: 2008-10-14 12:16

无摄像头的路过
作者: ★小手万岁☆    时间: 2008-10-14 12:16

不装那玩意儿~
作者: 迷一般的L    时间: 2008-10-14 12:24

没的飘~~~控制音箱和显示器吧。。。
作者: 猫の妖妖    时间: 2008-10-14 12:29

从来不用摄像头的飘``
作者: ohmygodl    时间: 2008-10-14 13:34

过多几十年~黑客会不会直接从你电脑显示器或者机箱直接爬出来?
作者: 米蘭的小鐵匠    时间: 2008-10-14 13:35

爬出个美女黑客么
作者: ohmygodl    时间: 2008-10-14 13:52

爬出来个芙蓉姐姐黑客
作者: 切兔子额西瓜    时间: 2008-10-14 13:54

摄像头是撒?
作者: 中轴线    时间: 2008-10-14 14:53

电脑自带的.....
作者: 绝恋牧师    时间: 2008-10-14 16:56

从来不把设想头的。。
作者: 不会游水的鱼    时间: 2008-10-14 16:58

米有摄像头咋黑...?
只想知道这个...
作者: ohmygodl    时间: 2008-10-14 19:08

人家只是想告诉给有摄像头的MM嘛!
作者: 61932241    时间: 2008-10-14 20:04

在哪里下
我怎么没找到下载的




欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/) Powered by Discuz! 7.2