“我用火狐瀏覽器(Firefox)上網不會中毒”,曾經是網友一句引以為傲的話,然而處在灰色地帶的安全研究人員,再次用實事驗證了一些網友的話過于樂觀和盲目。近日,SecTheory LLC公司首席執行官表示,剛剛曝光的Clickjacking漏洞將會影響所有主流瀏覽器,包括IE,Firefox,Safari,Opera 以及Chrome等。另一方面,Grossman 確切表示,微軟最新的IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。當前,唯一的辦法是禁用瀏覽器的腳本和插件功能。顯然這個方法將會讓瀏覽器失去大部分功能。可見不論哪種類型瀏覽器都沒有絕對的安全。
對于這起可能引發恐慌的漏洞危機,國內的超級巡警安全團隊給出了具有實際意義的解決方案: 目前可以確認,商業黑客可以利用Clickjacking漏洞控制用戶的瀏覽器,去下載任意木馬和點擊任意惡意鏈接,盜取用戶網銀,網絡游戲帳戶。一些充滿想象力的黑客還可以間接控制用戶的攝像頭,造成用戶隱私泄露。更為嚴重的是這個漏洞與和過去的基于Java腳本類威脅無關,即使你關閉瀏覽器的Java腳本功能也無濟于事。事實上這是瀏覽器工作原理中的一個缺陷,無法通過簡單的補丁解決。
對于傳統病毒威脅安全廠商可以,通過更新病毒庫,發布流行病毒專殺等方案,而瀏覽器作為電腦的網絡威脅“閘門”一旦被黑客攻陷,病毒會源源不斷的輸入機器,將會超過系統內殺毒軟件的防御承載能力。所以要解決Clickjacking這類瀏覽器漏洞,就要借助擁有“網頁腳本掃描引擎”的網頁殺毒軟件,目前暢游巡警是國內唯一擁有腳本掃描引擎的殺毒軟件,當瀏覽器這個“網絡閘門”被黑客控制后,暢游巡警依然可以起到“過濾”網絡威脅的作用,而不是像傳統殺毒軟件那樣等病毒進入系統后在查殺,后者引發威脅的概率要遠遠高于暢游巡警。
對于傳統病毒威脅安全廠商可以,通過更新病毒庫,發布流行病毒專殺等方案,而瀏覽器作為電腦的網絡威脅“閘門”一旦被黑客攻陷,病毒會源源不斷的輸入機器,將會超過系統內殺毒軟件的防御承載能力。所以要解決Clickjacking這類瀏覽器漏洞,就要借助擁有“網頁腳本掃描引擎”的網頁殺毒軟件,目前暢游巡警是國內唯一擁有腳本掃描引擎的殺毒軟件,當瀏覽器這個“網絡閘門”被黑客控制后,暢游巡警依然可以起到“過濾”網絡威脅的作用,而不是像傳統殺毒軟件那樣等病毒進入系統后在查殺,后者引發威脅的概率要遠遠高于暢游巡警。
推薦解決方案:下載暢游巡警防御Clickjacking漏洞引發的黑客攻擊 下載地址:http://www.sucop.com/download/secplugin.html
共有條評論
