漏洞危害严重
这个漏洞非常紧急,将影响到所有浏览器,而且它和 JavaScript 并没有关系。clickjacking漏洞影响所有主流桌面平台,包括IE, Firefox, Safari, Opera 以及 Adobe Flash。
连微软最新的 IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。
连微软最新的 IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。
继GDI+图片漏洞之后,又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞,黑客可以控制用户的浏览器,用户点击任意链接、任意按钮或者网上任意的东西都可能被引导至其他地址。黑客可以轻易利用"clickjacking"控制摄像头和麦克风,窥探用户隐私,并可以进一步利用病毒木马,盗取用户网上银行,游戏帐户,QQ帐户等用户虚拟财产……
一号解决方案:下载专用修复工具
免费修复工具
★ Clickjacking漏洞专补工具
适用平台:WinNT/2000/XP/2003
更新版本:1.0
工具大小:641 KB
工具说明:修复Clickjacking漏洞,解决Flash Player被漏洞利用的问题。
适用平台:WinNT/2000/XP/2003
更新版本:1.0
工具大小:641 KB
工具说明:修复Clickjacking漏洞,解决Flash Player被漏洞利用的问题。
手动解决方案
当前,最简单的办法是禁用浏览器的脚本和插件功能。
1、通过如下路径找到mms.cfg文件:C:\WINDOWS\system32\Macromed\Flash;
2、用记事本打开该文件;
3、将AVHardwareDisable的值从0改为1,保存退出即可。有些用户系统内无此文件,则可通过金山软件提供的Clickjacking漏洞修复工具自动进行修复
1、通过如下路径找到mms.cfg文件:C:\WINDOWS\system32\Macromed\Flash;
2、用记事本打开该文件;
3、将AVHardwareDisable的值从0改为1,保存退出即可。有些用户系统内无此文件,则可通过金山软件提供的Clickjacking漏洞修复工具自动进行修复
adobe flashplayer暂时解决方法
用户可以到Adobe官方网站下载最新版本:
安装之前首先必须从系统将已经安装的adobe flashplayer全部删除,详细删除方法>>1、下载卸载程序,地址:http://download.macromedia.com/pub/labs/flashplayer10/
flashplayer10_uninstall_091508.exe
2.下载安装最新软件:
for IE: http://download.macromedia.com/pub/labs/flashplayer10/
flashplayer10_install_activex_091508.exe
for firefox: http://download.macromedia.com/pub/labs/flashplayer10/
flashplayer10_install_plugin_091508.exe
立即下载修复工具
|
被攻击情景假设
黑客可以控制你的浏览器对一些链接的访问,让你在毫不知情的情况下点击任意链接,任意按纽或网站上任意东西。
例如交易网站,攻击者可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,黑客变可轻易的知道您的帐户密码,并窃取财物。
