严重漏洞警告－点击欺骗Clickjacking(Adobe Flashplayer 10.0正式发布)

skylin001

Adobe公司已经于10月9日公布了应对此漏洞的暂时解决方法。
      请立即下载：金山漏洞专补工具_Clickjacking漏洞修复
      同时用户可以到Adobe官方网站下载最新版本：
      安装步骤：
            安装之前首先必须从系统将已经安装的adobe flashplayer全部删除，删除方法如下：
            1、下载卸载程序，地址：http://download.macromedia.com/pub/labs/flashplayer10/flashplayer10_uninstall_091508.exe
            2、打开命令提示符（快捷键win+R，路径：开始|运行），执行cmd；
            3、使用命令行语句定位到卸载程序所在的地址；
            4、执行命令：flashplayer10_uninstall_091508.exe/clean

      Adobe Flash Player 10.0正式发布，请安装
     http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
   

      金山清理专家将密切关注各相关厂商的动向，第一时间提供此漏洞的修复方案。敬请期待。

－－－－华丽丽的分隔线－－－－
一、Clickjacking相关资料

    1、影响范围：所有主流的桌面平台，包括IE、Firefox、Safari、Opera以及Adobe Flash。

    2、攻击原理：

    时至9月底，今年继GDI＋图片漏洞之后，又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞，攻击者可以控制用户的浏览器，在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。

3、相关的情景假设：

    （1）当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript无关，即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按纽或网站上任意东西。

    （2）比如在Ebay,因为可以嵌入JavaScript，虽然攻击并不需要JavaScript，但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己，同时不要任何动态的东西。该漏洞用到DHTML，使用防frame代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些Flash游戏将首当其冲。

二、黑客藉此漏洞的攻击原型

     黑客通过flash小游戏来控制用户的摄像头和麦克风（点击以下链接中的播放按钮即可观看，此链接中的视频完全无害）

     http://www.cnbeta.com/articles/66606.htm
    简要说明一下此攻击原型：

     1、小D在网上看到一个很好玩的flash小游戏，于是兴趣盎然地开始玩；

      2、表面上，小D是在玩游戏，不停地执行点击操作，实际上在这个游戏的下方有一个隐蔽的含有恶意攻击代码的层，小D所有的点击操作都被引导到对这段恶意代码的执行。

     3、通过执行那段恶意代码，小D的摄像头和麦克风就没不知情的情况下被黑客接管了。小D的隐私被暴露了

三、Adobe对于Clickjacking漏洞首度作出回应

        虽然此漏洞在更早前的时候就已经被发现，并且预计要在OWASPNYCAppSec2008大会上公布，但是由于此漏洞的影响很大，相关厂商请求暂时不要公开此漏洞，直到他们开发出相应的安全补丁。

       10月9日，Adobe首度对于Clickjacking漏洞作出回应，在其安全公告栏上第一次提及此事，表示Clickjacking漏洞影响到AdobeFlash9.0.124.0之前的所有版本。同时他们发布了暂时的解决方案。

四、其它 相关链接

       1、金山官方博客：http://blog.duba.net/read.php?18
       2、Adobe网站的官方公告：http://www.adobe.com/support/security/advisories/apsa08-08.html

        3、Cnbeta上有关文章:http://www.cnbeta.com/articles/65733.htm

       4、clickjacking的攻击原理细节（非官方）：http://hi.baidu.com/aullik5/blog ... ac0ca7cd1166d9.html

[ 本帖最后由 skylin001 于 2008-10-16 07:26 编辑 ]

skylin001

金山清理专家译自adobe官方网站的公告

Flash Player被Clickjacking漏洞利用的问题

发布日期： 2008年10月7日
漏洞标示符： APSA08-08
平台：所有平台
受影响的软件版本: Adobe Flash Player 9.0.124.0 及更老的版本

摘要
Adobe注意到，最近发布的Clickjacking漏洞，使得攻击者有可能诱导使用浏览器的用户在其不知情的情况下点击其他的一个链接或对话框，这类潜在的“Clickjacking”问题已经影响到Adobe Flash Player的正常工作。Adobe正努力在即将更新的Flash Player中解决这一问题。

解决方案
客户：
用户可按如下方式修改Flash Player的设置，以防止Clickjacking问题：
点击如下链接进入Adobe Flash Player设置中的全局隐私设置页面http://www.adobe.com/support/doc ... ings_manager02.html
1.选择“始终拒绝”按钮。
flash无标题.jpg (10.25 KB)
2008-10-10 03:42


2.在结果对话框中选择“确认”。
    flash2.jpg (6.33 KB)
2008-10-10 03:42


注意：改变此设置后，用户将不会接收到“允许或拒绝相机和/或麦克风的访问”这一类的提示。用户可通过如下链接选择性的允许某些网站访问相机和/或麦克风：http://www.adobe.com/support/doc ... ings_manager06.html

IT管理员:
IT管理员可以在客户机的文件mms.cfg中，将AVHardwareDisable的值从0改为1，以禁用客户机中Flash Player的相机和麦克风的互动。想了解更多关于mms.cfg文件和AVHardwareDisable，请参阅Adobe Flash Player的管理指南的第57页：http://www.adobe.com/devnet/flas ... _guide.pdf#page=57.
Adobe计划于10月底前发布的Flash Player更新中解决这一问题。更多细节将发表的Adobe安全公告网页中，地址为http://www.adobe.com/support/security.
此外，所有记录的的安全漏洞及其解决方案是通过Adobe的安全通知服务发布的。您可以在以下地址注册以获取服务：http://www.adobe.com/cfusion/entitlement/index.cfm?e=szalert。
用户也可在Adobe产品安全事件反应小组博客中获取最新信息：http://blogs.adobe.com/psirt

严重程度等级
Adobe 将其归类为关键问题。

致谢
Adobe 衷心感谢SecTheory的Robert Hansen，WhiteHat Security的Jeremiah Grossman，DotSpots的Eduardo Velahe Matthew Mastracci以及Liu Die Yu，感谢他们报告此漏洞并与 Adobe 一起帮助保护我们客户的安全。

[ 本帖最后由 skylin001 于 2008-10-10 07:48 编辑 ]

debehe

不错不错，赞一个

okhqyes

全部删除再安装就没事了是不

多多指教

谢谢分享

171425019

不错~~

171425019

我的版本比较高。目前安全~

ksdc0274119

最近漏洞特别多。。。

kusanagi

卸载没必要这么麻烦

双击下图中带有红色“X”的程序就卸载了。

安装后的最新版本为

vistalong

学习一下

wenyu

为什么用楼主的安装程序安装flash player10以后在线观看视频时总是提示：你的flash播放器版本过低，请点击立即升级。安装后的版本号为10.0.12.10.

[ 本帖最后由 wenyu 于 2008-10-12 17:50 编辑 ]

ksdbex00452130

已经安装，
楼上的可能是想让你安装9.0.0124之类的，不要管它了

axiuluo1437

我安装的是这个版本怎样？

这个又漏洞吗？？

axiuluo1437

LZ的那个，我怎么无法安装，，显示是安装成功，但无法播放.swf，选择方式里没有flashplayer10，
输出目录: C:\WINDOWS\system32\Macromed\Flash
抽取: Flash10a.ocx
抽取: FlashUtil10a.exe
正在注册: C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx
创建解除安装程序: C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
已完成

运行 Flash10a.ocx
就会连接美国的网站，要求升级，完成后之前安装的文件就全没了，恢复到安装前了
为什么？？？

okhqyes

现在可以了

[ 本帖最后由 okhqyes 于 2008-10-14 16:26 编辑 ]

wenyu

这证明在目前的flash player的正式版本中9.0.124.0就是最新版本了。我也发生了同样的情况。又重新装回了9.0.124.0.

[ 本帖最后由 wenyu 于 2008-10-14 13:49 编辑 ]

wenyu

flash player10.0.12.10是RC版。

skylin001

原帖由 axiuluo1437 于 2008-10-14 02:55 发表
LZ的那个，我怎么无法安装，，显示是安装成功，但无法播放.swf，选择方式里没有flashplayer10，
输出目录: C:\WINDOWS\system32\Macromed\Flash
抽取: Flash10a.ocx
抽取: FlashUtil10a.exe
正在注册: C:\WINDOW ...

安装成功后，IE不能播放.swf文件么？
flash10a.ocx是控件，不能直接运行的亚～

axiuluo1437

那样就没事了啊！
O(∩_∩)O哈哈~
见笑了！各位！
好像还有许多跟我一样的人士哦！请斑竹附带声明一下啊!

yangyan895

原帖由 skylin001 于 2008-10-10 15:33 发表
Adobe Flash Player 10.0正式发布，请安装
     http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

这个官网怎么只能在线安装啊？我英文不好 找不到下载的安装包 不知道有没有啊？