[ Notícias ]
Pesquisadores de segurança alertaram, na sexta-feira (26/09), para uma nova classe de vulnerabilidades apelidada de "clickjacking", que coloca usuários da maioria dos browsers sob risco de ataque.
Clickjacking é uma espécie de "seqüestro" do clique do usuário que, percebendo ou não, clica em um link - que pode estar invisível - inserido em um site por meio de uma falha considerada 'zero day', presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.
Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais - de propósito - pelo menos até que um fabricante comece a trabalhar na correção.
Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).
Há boatos, inclusive, de que a falha esteja associada ao Flash, o "onipresente" player
multimídia da Adobe que a maioria dos usuários executa como plug-in em
seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.
Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
Notícias MAIS RECENTES
Notícias MAIS LIDAS
Publicidade
