【TechTarget中国原创】Adobe Systems Inc.周三发布了广泛使用的Flash Player更新,解决著名的Clickjacking问题和一直困扰终端用户的Clipboard攻击。
在安全公告中,Adobe说他发布了Flash Player 10。它修复的漏洞可以允许攻击者绕过Flash Player的安全空间。它是特别针对clickjacking的。这种攻击允许攻击者欺骗用户无意识的奠基Web网页上的链接。应用安全研究人员Robert Hansen和WhiteHat Security Inc.的首席技术官Jeremiah Grossman发布了clickjacking攻击的细节,以及他们影响多种浏览器的方式。Clickjacking影响的浏览包括IE8 和Firefox。Robert Hansen说clickjacking是个出现很久的问题,而且厂商很难给这个问题打补丁。
Adobe说:“这次更新帮助防御Flash Player用户的摄像头和麦克风上的clickjacking攻击。”
Adobe还发布了Flash Player上的安全变更的细节和影响现有内容的方式。
最新版的Flash Player还改变了默认设置。据Adobe说,这样的默认设置可能泄露一些内容。新的默认把元策略设置为只允许主操作,而且赋予了管理员在某些域名上使用的设置的更多控制。Adobe Systems的质量工程师Trevor McCauley 写道:“在可替换位置定义的策略问题将要求他们工作的元策略。” McCauley说新的默认设置应用“防御对保存Flash内容和跨余名策略文件的Web服务器的权限提升攻击。”
这次更新还通过引入新的clipboard界面解决了clipboard攻击。Flash Player的旧版本对利用clipboard的攻击很敏感,使攻击者在clipboard上的重写替换的新内容成为可能。Flash Player 10现在强制用户通过一个按钮或者键盘快捷方式才能和clipboard联系。
这次更新还解决了研究人员发现的著名的端口扫描漏洞。这个漏洞允许攻击者绕过安全功能,并获得敏感数据,执行端口扫描进而查看某个端口的打开状况。