“我用火狐浏览器(Firefox)上网不会中毒”,曾经是网友一句引以为傲的话,然而处在灰色地带的安全研究人员,再次用实事验证了一些网友的话过于乐观和盲目。近日,SecTheory LLC公司首席执行官表示,刚刚曝光的Clickjacking漏洞将会影响所有主流浏览器,包括IE,Firefox,Safari,Opera 以及Chrome等。另一方面,Grossman 确切表示,微软最新的IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。当前,唯一的办法是禁用浏览器的脚本和插件功能。显然这个方法将会让浏览器失去大部分功能。可见不论哪种类型浏览器都没有绝对的安全。
对于这起可能引发恐慌的漏洞危机,国内的超级巡警安全团队给出了具有实际意义的解决方案: 目前可以确认,商业黑客可以利用Clickjacking漏洞控制用户的浏览器,去下载任意木马和点击任意恶意链接,盗取用户网银,网络游戏帐户。一些充满想象力的黑客还可以间接控制用户的摄像头,造成用户隐私泄露。更为严重的是这个漏洞与和过去的基于Java脚本类威胁无关,即使你关闭浏览器的Java脚本功能也无济于事。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。
对于传统病毒威胁安全厂商可以,通过更新病毒库,发布流行病毒专杀等方案,而浏览器作为电脑的网络威胁“闸门”一旦被黑客攻陷,病毒会源源不断的输入机器,将会超过系统内杀毒软件的防御承载能力。所以要解决Clickjacking这类浏览器漏洞,就要借助拥有“网页脚本扫描引擎”的网页杀毒软件,目前畅游巡警是国内唯一拥有脚本扫描引擎的杀毒软件,当浏览器这个“网络闸门”被黑客控制后,畅游巡警依然可以起到“过滤”网络威胁的作用,而不是像传统杀毒软件那样等病毒进入系统后在查杀,后者引发威胁的概率要远远高于畅游巡警。
对于传统病毒威胁安全厂商可以,通过更新病毒库,发布流行病毒专杀等方案,而浏览器作为电脑的网络威胁“闸门”一旦被黑客攻陷,病毒会源源不断的输入机器,将会超过系统内杀毒软件的防御承载能力。所以要解决Clickjacking这类浏览器漏洞,就要借助拥有“网页脚本扫描引擎”的网页杀毒软件,目前畅游巡警是国内唯一拥有脚本扫描引擎的杀毒软件,当浏览器这个“网络闸门”被黑客控制后,畅游巡警依然可以起到“过滤”网络威胁的作用,而不是像传统杀毒软件那样等病毒进入系统后在查杀,后者引发威胁的概率要远远高于畅游巡警。
推荐解决方案:下载畅游巡警防御Clickjacking漏洞引发的黑客攻击 下载地址:http://www.sucop.com/download/secplugin.html
共有条评论
