國家資通安全會報 技術服務中心
漏洞/資安訊息警訊
發布編號 | ICST-ANA-2008-0012 | 發布時間 | 2008/11/30 10:41:45 |
事件類型 | 攻擊活動預警 | 發現時間 |
|
警訊名稱 | 點閱綁架(Clickjacking)攻擊暨漏洞修補通知 | ||
內容說明 | 近期出現了一種新型態的瀏覽器攻擊手法,駭客透過精巧設計的惡意網頁誘騙使用者做滑鼠點擊(click)動作,在使用者不知情的情況下,這些點擊動作會連串成對為對使用者不友善的行為,如導致個人資料外洩。 此類攻擊手法利用HTML語法所支援的某些特殊內嵌物件來試圖混淆使用者進行滑鼠點擊動作,並導致使用者觸發執行隱藏於Javascript、CSS、Iframe等網頁物件的惡意指令或程式。 近期出現大量利用點閱綁架攻擊方式之網站,提醒尚未修補弱點之使用者儘快進行修補。 | ||
影響平台 | Flash及各平台之瀏覽器 | ||
建議措施 | 1. 建議使用者將Adobe Flash Player升級至最新版本10.0.12.36,或直接使用產品自動更新方式來升級。 2. 避免於瀏覽器中自動執行iframe與Javascript。 | ||
參考資料 | Adobe http://www.adobe.com/support/security/advisories/apsa08-08.html CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4503 US-CERT http://www.us-cert.gov/reading_room/securing_browser/ |
沒有留言:
張貼留言