Difetto 'clickjacking' di Adobe Fixes

Adobe Systems ha rilasciato una nuova versione del suo software Flash Player, che fissa un bug di sicurezza critico che potrebbe rendere Internet un luogo pericoloso per i navigatori del Web.

Il nuovo software Flash Player 10, rilasciato mercoledì, risolve i problemi di sicurezza nel software multimediale di Adobe, inclusi bug che potrebbero consentire agli hacker di tirare fuori quello che è noto come un attacco clickjacking, ha scritto il portavoce di Adobe David Lenoe in un post sul blog.

Per coloro che non possono aggiornare a questa nuova versione di Flash, una patch di sicurezza Flash 9 è ancora circa un mese di pausa, ha aggiunto. Adobe valuta il bug di clickjacking come "critico".

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Anche se non ampiamente utilizzato dai criminali, il clickjacking ha ricevuto molta attenzione da quando è stato discusso per la prima volta un mese fa. Flash non è l'unico software vulnerabile a un attacco clickjacking, ma gli attacchi Flash sono stati considerati tra i più pericolosi.

I ricercatori di sicurezza che hanno scoperto il problema, Robert Hansen e Jeremiah Grossman, avevano intenzione di discutere completamente del clickjacking su una presentazione della conferenza sulla sicurezza del 24 settembre. Ma hanno fatto marcia indietro e hanno dato una versione più snella dei loro talk quando Adobe ha chiesto più tempo per applicare patch al suo software.

La scorsa settimana, tuttavia, il ricercatore di sicurezza Guy Aharonovsky ha mostrato come avrebbe funzionato un attacco clickjacking Adobe Flash e con il Le informazioni ora aperte, Hansen e Grossman sono diventate pubbliche con le loro scoperte.

In un attacco di clickjacking, l'hacker utilizza una varietà di tecniche per prendere il controllo dei collegamenti che la vittima sta effettivamente cliccando. In un attacco, ad esempio, l'autore dell'attacco dovrebbe ingannare la vittima prima di visitare una pagina Web dannosa e quindi fare clic su quello che sembrava essere un normale collegamento Web. In realtà, la vittima potrebbe fare clic su qualcosa di completamente diverso come un oggetto Flash che ha attivato il microfono. "È quasi impossibile per un utente determinare cosa succederà quando fa clic su un link", ha detto Hansen, CEO di SecTheory.org, in un'intervista della scorsa settimana.

Un clickjacker potrebbe intercettare i PC delle vittime, forza per eseguire transazioni di titoli online, eliminare pagine di blog, modificare una configurazione di router o firewall, creare nuovi account di posta Web o persino forzarli a scaricare software, ha detto Hansen.

Perché il clickjacking influisce su altri plug-in del browser, il modo migliore per risolvere il problema del clickjacking potrebbe essere quello di cambiare il modo in cui i browser funzionano, ha detto Hansen. "I produttori di browser comprendono il problema e stanno cercando di trovare il modo per mitigarlo", ha affermato.