Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Clickjacking - ne olyan hevesen!

2008.09.28. 21:42 | buherator | 7 komment

A korai időpont ellenére majdnem lecsukódik a szemem, de muszáj ejtenem néhány szót a mostanában feltűnt clickjacking "támadásról".

A szemfülesek már majdnem két hete olvashattak róla, hogy RSnake és Jeremiah Grossman igen súlyos, több nagy böngészőt is érintő hibát fedeztek fel. A szakértők több nagyobb szoftvergyártóval kezdtek egyeztetésbe, többek között a Microsofttal és Adobe-bal is, a részletek nyilvánosságra hozatalát pedig a pénteki OWASP konferenciára tervezték. (Külön érdekesség, hogy az Adobe úgy is komolyan veszi a kérdést, hogy a hiba valószínűleg nem is az ő termékükben van.) A problémára azonban eddig nem találtak megfelelő, könnyen implementálható megoldást, ezért a két előadó úgy döntött, hogy nem tartják meg az előadást.

Elindultak persze a spekulációk: többen mutatták nekem ezt a szkriptet, ami ugyan egy trükkös darab, de most komolyan: néhány egymásra húzott IFRAME miatt kezdene patchelésbe a Microsoft? És különben is, hogy jön ehhez az Adobe?

Mivel jelen pillanatban még azt sem lehet tudni, hogy mi a támadás pontos hatása, semmit sem lehet kétségek nélkül kijelenteni. Csupán egy dologban lehetünk biztosak: ez a történet szerepelni fog a legközelebbi Pwnie-díj "Leginkább túllihegett hiba" kategóriájának jelöltjei között!

 

Címkék: microsoft adobe pwnie awards clickjacking

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

helios 2008.09.28. 22:01:48

Kaminsky 2?

buherator · http://buhera.blog.hu 2008.09.29. 08:36:04

@helios
Jó meglátás, már csak azért is, mert ha esetleg véletlenül valaki mégis rájönne a turpisságra, és publikálná, abból is kb. akkora hajcihő lenne ezek után, mint mikor Kaminsky hibáját nyilvánosságra hozta a Matasano Chargen...

synapse 2008.09.29. 11:49:07

Kaminsky hibajahoz nem kellett soceng, hogy kihasznalhato legyen. Ott percek alatt milliokat tudtal megtamadni es semmi nem kellett hozza ;)

synapse

Hunger 2008.09.29. 12:27:53

Én az FX véleményével értek egyet... Az SNMPv3 HMAC sokkal súlyosabb, mint a Kaminsky DNS probléma, mégse hallott róla szinte senki.

dosuva911 · http://hackademix.net/2008/09/27/clickjacking-and-noscript/ 2008.09.29. 23:52:54

szerintem így tisztábban láttok majd...

helios 2008.09.30. 01:18:33

Hajnal van, de kosz a linket. Holnap belemelyedek.