國家資通安全會報 技術服務中心
漏洞/資安訊息警訊
發布編號 : ICST-ANA-2008-0012
發布時間: 2008/11/30 10:41:45
事件類型 :攻擊活動預警
警訊名稱: 點閱綁架(Clickjacking)攻擊暨漏洞修補通知
內容說明: 近期出現了一種新型態的瀏覽器攻擊手法,駭客透過精巧設計的惡意網頁,誘騙使用者做滑鼠點擊(click)動作,
在使用者不知情的情況下,這些點擊動作會連串成對使用者不友善的行為,如導致個人資料外洩。
此類攻擊手法利用HTML語法所支援的某些特殊內嵌物件來試圖混淆使用者進行滑鼠點擊動作,並導致使用者觸發
執行隱藏於Javascript、CSS、Iframe等網頁物件的惡意指令或程式。
近期出現大量利用點閱綁架攻擊方式之網站,提醒尚未修補弱點之使用者儘快進行修補。
影響平台 Flash及各平台之瀏覽器
建議措施: 1.建議使用者將Adobe Flash Player升級至最新版本10.0.12.36,或直接使用產品自動更新方式來升級。
2. 避免於瀏覽器中自動執行iframe與Javascript。
參考資料:
Adobe : http://www.adobe.com/support/security/advisories/apsa08-08.html
CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4503
US-CERT : http://www.us-cert.gov/reading_room/securing_browser/
資訊中心 敬啟
留言列表