Adobe Fixes 'clickjacking' Fout

Adobe Systems heeft een nieuwe versie uitgebracht van zijn Flash Player-software, waarmee een kritieke beveiligingsbug wordt opgelost die internet tot een gevaarlijke plaats voor internetgebruikers zou kunnen maken.

De nieuwe Flash Player 10-software, die woensdag is vrijgegeven, herstelt beveiligingsfouten in de multimediasoftware van Adobe, inclusief bugs waarmee hackers af van wat bekend staat als een clickjacking-aanval, schreef Adobe-woordvoerder David Lenoe in een blogpost.

Voor degenen die niet kunnen updaten naar deze nieuwe versie van Flash, is een Flash 9-beveiligingspatch nog ongeveer een maand vrij, voegde hij toe. Adobe beoordeelt de clickjacking-bug als 'kritiek'.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Hoewel Clickjacking niet vaak wordt gebruikt door criminelen, heeft het veel aandacht gekregen sinds het voor het eerst een maand lang werd besproken geleden. Flash is niet de enige software die kwetsbaar is voor een clickjacking-aanval, maar Flash-aanvallen worden als de gevaarlijkste beschouwd.

De beveiligingsonderzoekers die het probleem ontdekten, Robert Hansen en Jeremia Grossman, hadden de bedoeling om Clickjacking volledig te bespreken op een 24 september-presentatie van de veiligheidsconferentie. Maar ze steunden en gaven een afgeslankte versie van hun toespraak toen Adobe om meer tijd vroeg om zijn software te patchen. Vorige week liet veiligheidsonderzoeker Guy Aharonovsky zien hoe een klikadingsaanval met Adobe Flash zou werken, en met de informatie nu in de openbaarheid, Hansen en Grossman gingen met hun bevindingen naar buiten.

Bij een clickjacking-aanval gebruikt de hacker een verscheidenheid aan technieken om controle te krijgen over de links die het slachtoffer daadwerkelijk aanklikt. In één aanval, bijvoorbeeld, moest de aanvaller het slachtoffer eerst verleiden tot het bezoeken van een kwaadwillende webpagina en vervolgens klikken op wat leek op een gewone webkoppeling. In werkelijkheid zou het slachtoffer op iets heel anders klikken, zoals een Flash-object dat zijn microfoon aanzet. "Het is bijna onmogelijk voor een gebruiker om te bepalen wat er gaat gebeuren wanneer ze op een link klikken", zei Hansen, CEO van SecTheory.org, vorige week in een interview.

Een clickjacker kan de pc's van slachtoffers afluisteren hen om online aandelenhandel uit te voeren, blogpagina's te verwijderen, een router- of firewallconfiguratie te wijzigen, nieuwe webmailaccounts aan te maken of ze zelfs te dwingen software te downloaden, zei Hansen. Clickjacking andere browser-plug-ins beïnvloedt, is de beste manier om dit op te lossen het clickjacking-probleem kan zijn om de manier waarop browsers werken te veranderen, zei Hansen. "Browser-makers begrijpen het probleem en ze proberen manieren te vinden om het te verzachten," zei hij.