Componenti

Vulnerabilità di Clickjacking da rivelare il prossimo mese

Pianifica il tuo bug bounty

Pianifica il tuo bug bounty
Anonim

Dopo aver accantonato i piani per dettagliare una vulnerabilità di clickjacking del browser che è indirettamente correlata ai prodotti di Adobe Systems su richiesta dell'azienda all'inizio di questo mese, un ricercatore di sicurezza intende dettagliare il difetto il mese prossimo.

Jeremiah Grossman, capo della tecnologia di White Hat Security, discuterà la vulnerabilità alla conferenza Hack In The Box (HITB) a Kuala Lumpur, in Malesia. "Non abbiamo ETA sulle correzioni di Adobe, ma speriamo che siano settimane e non mesi. Che siano o meno" patch ", non cambierà il contenuto del mio discorso di apertura", ha scritto in un e- mail.

Grossman aveva programmato di descrivere il problema del clickjacking con Robert Hansen, CEO di SecTheory, alla conferenza del progetto Open Web Application Security a New York, ma hanno ritirato la presentazione su richiesta di Adobe. Gli hacker hanno affermato che non è stata posta alcuna pressione su di loro, ma Adobe ha voluto del tempo per studiare e affrontare la vulnerabilità prima che fosse resa pubblica. "Questo non è un male 'l'uomo sta cercando di tenerci giù dagli hacker' situazione", Hansen ha scritto sul suo blog in quel momento.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Il clickjacking è un attacco in cui un utente fa clic su un pulsante in un browser, pensando che il pulsante eseguirà una funzione specifica, ad esempio l'invio di una notizia a Digg, ma invece un utente malintenzionato dirotta il pulsante per utilizzarlo per un altro scopo. La vulnerabilità è "evidentemente abbastanza spaventosa per Adobe da chiamarla un problema critico e chiedere più tempo, anche se sono stati influenzati solo indirettamente", ha scritto Grossman in una e-mail.

Nel corso del fine settimana, Grossman e Hansen hanno pianificato di informate Adobe del loro intento di procedere con la presentazione e rendere disponibile il codice proof-of-concept che hanno sviluppato.

"Abbiamo concesso a Adobe il tempo per cortesia perché hanno chiesto e abbiamo un buon rapporto di lavoro con loro. il tempo in modo produttivo, ma non abbiamo potuto accettare un altro ritardo ", ha scritto Grossman. "La nostra convinzione è il" clickjacking "dato che un problema non è un problema nel loro software, ma con i browser in generale. Non sarebbe giusto per gli altri impattare senza le informazioni di cui hanno bisogno."

HITB si terrà a Kuala Lumpur dal 27 al 30 ottobre.