Adobe Fixes 'clickjacking' Fel

Adobe Systems har släppt en ny version av sin Flash Player-programvara, som fastställer en kritisk säkerhetsbugg som kan göra Internet till en farlig plats för websurfare.

Den nya Flash Player 10-mjukvaran, släpptes onsdagen, löser säkerhetsbrister i Adobes multimedieprogramvara, inklusive buggar som kan tillåta hackare att dras av det som kallas en clickjacking attack, skrev Adobe-talesman David Lenoe i en bloggpost.

För dem som inte kan uppdatera till den här nya versionen av Flash, är en Flash 9 säkerhets patch fortfarande ungefär en månad bort, tillade han. Adobe beräknar clickjacking bug som "kritisk".

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Även om det inte används allmänt av brottslingar har clickjacking fått mycket uppmärksamhet eftersom det diskuterades först en månad sedan. Flash är inte den enda programvaran som är sårbar för en clickjacking-attack, men Flash-attacker har ansetts vara bland de farligaste. De säkerhetsforskare som upptäckte problemet, Robert Hansen och Jeremiah Grossman, hade tänkt att diskutera en 24 september säkerhetskonferens presentation. Men de backade av och gav en smalare version av sitt samtal när Adobe bad om mer tid att klistra in programvaran.

Förra veckan visade säkerhetsforskaren Guy Aharonovsky hur en Adobe Flash Clickjacking attack skulle fungera och med Information nu ute i det öppna, Hansen och Grossman blev offentliga med sina resultat.

I en clickjacking-attack brukar hackbrukarna en rad olika tekniker för att ta kontroll över vad som länkar offret faktiskt klickar på. I en attack, till exempel, måste angriparen först lura offeret för att besöka en skadlig webbsida och sedan klicka på vad som tycktes vara en vanlig webblänk. I verkligheten skulle offret klickar på något helt annat, till exempel ett Flash-objekt som aktiverade mikrofonen. "Det är nästan omöjligt för en användare att avgöra vad som kommer att hända när de klickar på en länk", säger Hansen, som är VD för SecTheory.org, i en intervju förra veckan.

En clickjacker skulle kunna tvinga offrets datorer att tvinga dem att utföra online-affärer, radera bloggsidor, ändra en router eller brandväggskonfiguration, skapa nya webbpostkonton eller till och med tvinga dem att ladda ner programvara, säger Hansen.

Eftersom clickjacking påverkar andra webbläsare, är det bästa sättet att åtgärda clickjacking problemet kan vara att ändra hur webbläsare fungerar, sade Hansen. "Webbläsaren förstår problemet och de försöker hitta sätt att mildra det," sa han.