圖書暨資訊處 -- [資安訊息警訊]-點閱綁架(Clickjacking)攻擊暨漏洞修補通知
:::
[資安訊息警訊]-點閱綁架(Clickjacking)攻擊暨漏洞修補通知

發布編號
ICST-ANA-2008-0012
發布時間
2008/11/30 10:41:45
事件類型
攻擊活動預警
發現時間
警訊名稱
點閱綁架(Clickjacking)攻擊暨漏洞修補通知
內容說明
近期出現了一種新型態的瀏覽器攻擊手法,駭客透過精巧設計的惡意網頁誘騙使用者做滑鼠點擊(click)動作,在使用者不知情的情況下,這些點擊動作會連串成對為對使用者不友善的行為,如導致個人資料外洩。

 

此類攻擊手法利用HTML語法所支援的某些特殊內嵌物件來試圖混淆使用者進行滑鼠點擊動作,並導致使用者觸發執行隱藏於Javascript、CSS、Iframe等網頁物件的惡意指令或程式。

 

近期出現大量利用點閱綁架攻擊方式之網站,提醒尚未修補弱點之使用者儘快進行修補。
影響平台
Flash及各平台之瀏覽器
建議措施

1. 建議使用者將Adobe Flash Player升級至最新版本10.0.12.36,或直接使用產品自動更新方式來升級。

2. 避免於瀏覽器中自動執行iframe與Javascript。

參考資料

Adobe

http://www.adobe.com/support/security/advisories/apsa08-08.html

CVE

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4503

US-CERT

http://www.us-cert.gov/reading_room/securing_browser/

 

此類警訊發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw/)進行修改。若您仍為貴 單位之資安聯絡人但非本事件之處理人員,請協助將此警訊告知相關處理人員。

 

 

 

如果您對此警訊的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。

國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)

地 址: 台北市富陽街116號

聯絡電話: 02-27339922

傳真電話: 02-27331655

電子郵件信箱: service@icst.org.tw

 

 

 

 


友善列印

gotop