Clickjacking Vulnerability to Beealed Next month

بعد رفوف خطط لتفصيل مستعرض ينقر على نقاط الضعف التي ترتبط بشكل غير مباشر بمنتجات Adobe Systems بناءً على طلب الشركة في وقت سابق من هذا الشهر ، يخطط باحث أمني لتفصيل العيب في الشهر المقبل.

Jeremiah Grossman ، رئيس قسم التكنولوجيا في White Hat Security ، سوف يناقش الضعف في مؤتمر Hack In The Box (HITB) في كوالا لمبور ، ماليزيا. "ليس لدينا ايتا على إصلاحات Adobe ، لكننا نأمل أن تكون أسابيع وليس شهور. سواء كانت أو لم تكن" ، فإنها لن تغير محتوى خطابي الرئيسي "، كتب في بريد إلكتروني البريد الإلكتروني

كان من المقرر أن يعرض غروسمان تفاصيل الخلل في النقر مع روبرت هانسن ، الرئيس التنفيذي لشركة SecTheory ، في مؤتمر مشروع Open Web Application Security في نيويورك ، لكنهم سحبوا العرض التقديمي بناءً على طلب Adobe. وقال المتسللون إنه لم يتم فرض أي ضغوط عليهم ، لكن شركة Adobe أرادت وقتًا لدراسة ومعالجة الثغرة قبل الإعلان عنها. وكتب هانسن على مدونته في ذلك الوقت: "هذا ليس شرًا" يحاول الرجل إبقاء المتسللين لدينا في موقفهم.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

Clickjacking is هجوم يقوم فيه مستخدم بالنقر فوق أحد الأزرار في أحد المتصفحات ، معتقدًا أن الزر سيؤدي وظيفة محددة ، مثل إرسال خبر إلى Digg ، ولكن بدلاً من ذلك يقوم أحد المهاجمين باختطاف الزر لاستخدامه لغرض آخر. إن الضعف هو "مخيف بما يكفي لأدوبي أن تسميها قضية حرجة وتطلب المزيد من الوقت ، على الرغم من أنها تأثرت بشكل غير مباشر فقط" ، كتب غروسمان في رسالة بريد إلكتروني.

خلال عطلة نهاية الأسبوع ، خطط غروسمان وهانسن ل أبلغ Adobe عن نيتها في المضي قدمًا في العرض وتقديم رمز إثبات المفهوم الذي طوروه.

"لقد منحنا وقت Adobe من باب المجاملة لأنهم طلبوا ولدينا علاقة عمل جيدة معهم. إنهم يستخدمون وكتب غروسمان "الوقت بشكل مثمر ، لكننا لم نوافق على تأخير آخر". "اعتقادنا هو الاختلاط لأن المشكلة ليست مشكلة في برمجياتهم ، ولكن مع المتصفحات بشكل عام. لن يكون من العدل للآخرين أن يكون لها تأثير دون الحاجة إلى المعلومات التي يحتاجونها."

سيعقد HITB في كوالا لمبور من 27 إلى 30 أكتوبر.