金山发布 Adobe Flash Player Clickjacking 问题专用修补工具

zwl2828

最近关于 Clickjacking 的新闻不少，因为其影响范围实在是太大了，所以不可忽视。Adobe官方于昨日也发布了一个可以修复此问题的临时解决方案。

金山清理专家第一时间跟进并且推出了修补工具和关于 Clickjacking 的专题，在Adobe官方没有正式发布解决问题的新的Flash Player版本之前，大家可以先临时使用此工具进行修复。

金山清理专家将继续高度关注此问题，如果Adobe或者是其他浏览器厂商推出解决方案，金山清理专家都会在第一时间将解决方案推送给大家，欢迎大家经常使用清理专家扫描和修补漏洞，保障系统安全稳定运行。

专补工具下载地址：
[url=http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe]http://down.www.kingsoft.com/db/download/othertools/ClickjackingFix.exe[/url]

金山官网关于 Clickjacking 的专题：
http://www.duba.net/zt/adobe/
金山毒霸博客关于 Clickjacking 的一篇很好的科普帖：
http://blog.duba.net/read.php?18

金山毒霸论坛讨论帖（包含详细解决方案及Adobe官方发表文章的译文）：
http://bbs.duba.net/thread-21982324-1-1.html

芙蓉霜花

谢谢提醒！ 已经修复。

Kevin Garnett

金山特别强调MM要注意了。

tanlimo

可控制的页面A内有一个iframe，iframe的src链接到另一个域的页面B。设置这个iframe的CSS样式的透明度为0，并设置其 CSS样式的z-index比页面A的其他元素的z-index大。这个iframe的width与height值都设置为足以保证用户可以点击到其中内容（页面B的内容）的大小。然后在页面A上放置一些按钮、链接等可以欺骗用户点击的元素，这些元素在iframe之下（z-index值决定），并恰好与 iframe的页面B内的关键元素在同一个位置。于是当用户被欺骗去点击页面A内的这些元素时，实际上点击了页面B内的关键元素。至于页面B内的关键元素是什么，大家想想便知，比如：删除按钮、添加按钮、单选框、请求链接等等。再加上一些社工技巧，这类攻击方式可以进行得非常巧妙

这个漏洞不会这么好构建吧？如果真是这样的话我都能构建一个.......

小v可

呵呵，不能用纯表情啊

[ 本帖最后由 小v可 于 2008-10-12 21:16 编辑 ]