kkk 2008-10-13 22:11
Flash Player被Clickjacking漏洞利用的问题
发布日期:2008年10月7日
漏洞标示符:APSA08-08
平台:所有平台
受影响的软件版本:AdobeFlashPlayer9.0.124.0及更老的版本
摘要
Adobe注意到,最近发布的Clickjacking漏洞,使得攻击者有可能诱导使用浏览器的用户在其不知情的情况下点击其他的一个链接或对话框,这类潜在的“Clickjacking”问题已经影响到AdobeFlashPlayer的正常工作。Adobe正努力在即将更新的FlashPlayer中解决这一问题。
解决方案
客户:
用户可按如下方式修改FlashPlayer的设置,以防止Clickjacking问题:
点击如下链接进入AdobeFlashPlayer设置中的全局隐私设置页面http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html
1、选择“始终拒绝”按钮。
2、在结果对话框中选择“确认”。
注意:改变此设置后,用户将不会接收到“允许或拒绝相机和/或麦克风的访问”这一类的提示。用户可通过如下链接选择性的允许某些网站访问相机和/或麦克风:http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html
IT管理员:
IT管理员可以在客户机的文件mms.cfg中,将AVHardwareDisable的值从0改为1,以禁用客户机中FlashPlayer的相机和麦克风的互动。想了解更多关于mms.cfg文件和AVHardwareDisable,请参阅AdobeFlashPlayer的管理指南的第57页:http://www.adobe.com/devnet/flashplayer/articles/flash_player_admin_guide/flash_player_admin_guide.pdf#page=57.
Adobe计划于10月底前发布的FlashPlayer更新中解决这一问题。更多细节将发表的Adobe安全公告网页中,地址为http://www.adobe.com/support/security.
此外,所有记录的的安全漏洞及其解决方案是通过Adobe的安全通知服务发布的。您可以在以下地址注册以获取服务:http://www.adobe.com/cfusion/entitlement/index.cfm?e=szalert。
用户也可在Adobe产品安全事件反应小组博客中获取最新信息:http://blogs.adobe.com/psirt
严重程度等级
Adobe将其归类为关键问题。
致谢
Adobe衷心感谢SecTheory的RobertHansen,WhiteHatSecurity的JeremiahGrossman,DotSpots的EduardoVelaheMatthewMastracci以及LiuDieYu,感谢他们报告此漏洞并与Adobe一起帮助保护我们客户的安全。
[[i] 本帖最后由 kkk 于 2008-10-13 22:12 编辑 [/i]]